Fastjson 远程反序列化程序验证的构造和分析

fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

关于漏洞的具体详情可参考 :https://github.com/alibaba/fastjson/wiki/security_update_20170315

受影响的版本

fastjson <= 1.2.24

静态分析

根据官方给出的补丁文件,主要的更新在这个checkAutoType函数上,而这个函数的主要功能就是添加了黑名单,将一些常用的反序列化利用库都添加到黑名单中。

具体包括:

下面我们来分析checkAutoType的函数实现:

核心部分就是denyList的处理过程,遍历denyList,如果引入的库以denyList中某个deny打头,就会抛出异常,中断运行。

程序验证构造

静态分析得知,要构造一个可用的程序,肯定得引入denyList的库。刚开始fastjson官方公布漏洞信息时,当时就尝试构造验证程序,怎奈fastjson的代码确实庞大,还有asm机制,通过asm机制生成的临时代码下不了断点。当时也只能通过在通过类初始化的时候弹出一个计算器,很显然这个构造方式不具有通用性,最近jackson爆出反序列漏洞,其中就利用了TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,简直不能再更妙,这就解决了fastjson通过字段传入一个类,再通过这个类执行有害代码。后来阅读ysoserial的代码时也发现在gadgets.java这个文件中也使用到了这个类来动态生成可执行命令的代码。

下面是一个程序验证的代码:

这个是Test.java的实现,在Test.java的构造函数中执行了一条命令,弹出计算器。编译Test.java得到Test.class供后续使用。后续会将Test.class的内容赋值给_bytecodes。让我们接着分析:

在这个程序验证代码中,最核心的部分是_bytecodes,它是要执行的代码,@type是指定的解析类,fastjson会根据指定类去反序列化得到该类的实例,在默认情况下,fastjson只会反序列化公开的属性和域,而com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中_bytecodes却是私有属性,_name也是私有域,所以在parseObject的时候需要设置Feature.SupportNonPublicField,这样_bytecodes字段才会被反序列化。_tfactory这个字段在TemplatesImpl既没有get方法也没有set方法,所以是设置不了的,弹计算器的图中展示了但是实际运行却没有使用,只能依赖于jdk的实现,作者在1.8.0_25,1.7.0_05测试都能弹出计算器,某些版本中在defineTransletClasses()用到会引用_tfactory属性导致异常退出。

接下来我们看下TemplatesImpl.java的几个关键函数:

在getTransletInstance调用defineTransletClasses,在defineTransletClasses方法中会根据_bytecodes来生成一个java类,生成的java类随后会被getTransletInstance方法用到生成一个实例,也也就到了最终的执行命令的位置Runtime.getRuntime.exec()

下面我们上一张调用链的图:

简单来说就是:

附上一张成功执行图:

总结

该程序验证的影响jdk 1.7,1.8版本,1.6未测试,但是需要在parseObject的时候设置Feature.SupportNonPublicField。

欢迎大家探讨。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

 



发表评论