开源商城后台Fastjson反序列化漏洞分析与利用<\/h1>

漏洞概述<\/h2>
本文详细分析了一个开源商城后台系统中存在的Fastjson反序列化漏洞，该漏洞位于Manager-Api模块的`cn.lili.controller.setting.RegionManagerController#synchronizationData<\/code>方法中。攻击者可以通过构造恶意请求实现远程代码执行(RCE)。<\/p>`

漏洞分析<\/h2>
漏洞位置<\/h3>
漏洞存在于RegionManagerController<\/code>类的synchronizationData<\/code>方法中，该方法用于同步高德行政地区数据。<\/p>
漏洞触发流程<\/h3>


可控参数传入<\/strong>：<\/p>

方法接收一个String类型的参数url<\/code><\/li>
该参数完全可控，由前端传入<\/li>
<\/ul>
<\/li>

HTTP请求执行<\/strong>：<\/p>
String jsonString =<\/span> HttpClientUtils.<\/span>doGet<\/span>(<\/span>url);<\/span>
<\/span><\/span><\/code><\/pre>
调用HttpClientUtils.doGet<\/code>方法执行传入的URL<\/li>
在doGet<\/code>方法中(174行)，使用Apache HttpClient执行请求<\/li>
检查响应状态码是否为200，如果是则提取响应内容并返回<\/li>
<\/ul>
<\/li>

危险的反序列化操作<\/strong>：<\/p>
this<\/span>.<\/span>initData<\/span>(<\/span>jsonString);<\/span>
<\/span><\/span><\/code><\/pre>
将获取的JSON字符串传递给initData<\/code>方法<\/li>
在initData<\/code>方法中使用JSONObject.parseObject<\/code>进行反序列化<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞成因<\/h3>


Fastjson版本问题<\/strong>：<\/p>

项目中使用的Fastjson版本为1.2.78<\/li>
该版本存在已知的反序列化漏洞<\/li>
<\/ul>
<\/li>

Groovy依赖存在<\/strong>：<\/p>

项目中同时存在Groovy依赖<\/li>
可利用公开的Fastjson+Groovy利用链实现RCE<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞复现<\/h2>
复现思路<\/h3>

控制返回数据包的内容为Fastjson可执行的格式<\/li>
由于传入的URL可控，只需确保解析URL后返回的数据包内容符合要求<\/li>
<\/ol>
复现步骤<\/h3>


准备恶意服务器<\/strong>：<\/p>

使用Python开启HTTP服务<\/li>
创建包含Fastjson可执行内容的文件<\/li>
<\/ul>
# 示例文件内容<\/span>
<\/span><\/span>{
<\/span><\/span>  "@type"<\/span>: "org.codehaus.groovy.control.ProcessingUnit"<\/span>,
<\/span><\/span>  \/\/<\/span> 恶意payload
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>

发送恶意请求<\/strong>：<\/p>

构造请求，将URL参数指向恶意服务器上的文件<\/li>
系统会获取该文件内容并进行反序列化<\/li>
<\/ul>
<\/li>

验证漏洞<\/strong>：<\/p>

观察DNSlog是否收到请求<\/li>
确认命令执行是否成功<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用<\/h2>
利用链组成<\/h3>
Fastjson 1.2.78 + Groovy利用链<\/p>
利用链模板<\/h3>
参考GitHub项目：fastjsonVul<\/a><\/p>
利用过程<\/h3>


第一次反序列化<\/strong>：<\/p>

将org.codehaus.groovy.control.ProcessingUnit<\/code>加入白名单<\/li>
<\/ul>
<\/li>

第二次反序列化<\/strong>：<\/p>

加载自定义的恶意类<\/li>
<\/ul>
<\/li>

恶意类构造<\/strong>：<\/p>

修改GrabAnnotationTransformation2<\/code>类<\/li>
在其中加入加载自定义Filter的代码<\/li>
<\/ul>
<\/li>
<\/ol>
利用效果<\/h3>


命令执行<\/strong>：<\/p>

成功实现命令回显<\/li>
可执行任意系统命令<\/li>
<\/ul>
<\/li>

后门连接<\/strong>：<\/p>

成功连接冰蝎(Behinder)等Webshell管理工具<\/li>
获取持久化访问权限<\/li>
<\/ul>
<\/li>
<\/ol>
修复建议<\/h2>


升级Fastjson<\/strong>：<\/p>

升级到最新安全版本(至少2.x以上)<\/li>
或使用安全模式配置<\/li>
<\/ul>
<\/li>

输入验证<\/strong>：<\/p>

对传入的URL参数进行严格校验<\/li>
限制只能访问可信域名<\/li>
<\/ul>
<\/li>

安全配置<\/strong>：<\/p>

启用Fastjson的安全模式<\/li>
配置反序列化白名单<\/li>
<\/ul>
<\/li>

移除不必要依赖<\/strong>：<\/p>

如果不需要Groovy功能，移除相关依赖<\/li>
<\/ul>
<\/li>
<\/ol>
参考资源<\/h2>


Fastjson漏洞利用技巧集合：

https:\/\/github.com\/safe6Sec\/Fastjson<\/a><\/p>
<\/li>

Fastjson+Groovy利用链：

https:\/\/github.com\/Lonely-night\/fastjsonVul<\/a><\/p>
<\/li>
<\/ol>

开源商城后台Fastjson反序列化漏洞分析与利用<\/h1>

漏洞位置<\/h3> 漏洞存在于RegionManagerController<\/code>类的synchronizationData<\/code>方法中，该方法用于同步高德行政地区数据。<\/p>

漏洞复现<\/h2>

漏洞利用<\/h2>

利用链组成<\/h3> Fastjson 1.2.78 + Groovy利用链<\/p>

利用链模板<\/h3> 参考GitHub项目：fastjsonVul<\/a><\/p>

利用过程<\/h3> 第一次反序列化<\/strong>：<\/p>

参考资源<\/h2> Fastjson漏洞利用技巧集合： https:\/\/github.com\/safe6Sec\/Fastjson<\/a><\/p> <\/li> Fastjson+Groovy利用链： https:\/\/github.com\/Lonely-night\/fastjsonVul<\/a><\/p> <\/li> <\/ol>

漏洞位置<\/h3>
漏洞存在于`RegionManagerController<\/code>类的synchronizationData<\/code>方法中，该方法用于同步高德行政地区数据。<\/p>`

利用链组成<\/h3>
Fastjson 1.2.78 + Groovy利用链<\/p>

利用链模板<\/h3>
参考GitHub项目：fastjsonVul<\/a><\/p>

参考资源<\/h2>

Fastjson漏洞利用技巧集合：
https:\/\/github.com\/safe6Sec\/Fastjson<\/a><\/p> <\/li>

Fastjson+Groovy利用链：
https:\/\/github.com\/Lonely-night\/fastjsonVul<\/a><\/p> <\/li> <\/ol>