AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
AI清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划 AI清静 AI清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

2017年反序列化误差年度报告

2018-01-24

宣布者：AG公司科技

2017年OWASP宣布了新的十大web误差威胁，其中A8:2017就是不清静的反序列化，A9:2017-使用含有已知误差的组件也和反序列化细密相连，这是由于在Java开发中许多代码都依赖于第三方组件，而这些组件可能会保存反序列误差，典范的例子就是Jackson，fastjson，XStream，XMLDecoder等开源组件。序列化是工具转换成二进制，json，xml等存储名堂。而反序列化恰恰相反，则是将二进制，json，xml转换成响应的类。

在2017年AG公司科技NS-SRC 处置惩罚的误差应急中就有很大一部分是反序列化误差，下面我们来逐一剖析2017年我们应急的那些反序列化误差。总得来说，2017年泛起的反序列化误差和以往反序列误差在误差形成方法上不太一样，在以往都是由于Java自身的反序列特征导致的误差，2017年则多了fastjson，Jackson等，这两个库都能将json文本转换成详细的java bean，在这个转换历程中会挪用响应的setter要领和getter要领从而导致远程代码执行。2017年还泛起关于XMLDecoder和XStream的应急，都是由于依赖问题导致的缺陷。本报告重点回首2017年AG公司科技重点应急，影响面很是广的那些反序列化误差。从这个报告中能看出反序列化误差的生长，攻击方和防御方一直的对抗历程，bypass和反bypass在这个历程中体现得淋漓尽致。

概述

应急蹊径

从3月份爆出Fastjson的反序列化特征导致的远程代码执行，四月份则是Jackson，Log4j2，Jenkins的反序列化造成的远程代码执行，接着6月份流出了Weblogic CVE-2017-3248的使用代码。稍微消停了一会，Struts2又被清静研究职员盯上，爆出Struts2-052，又是一个远程代码执行。在11月份，由于Jackson官方对误差不敏感，接着又被曝CVE-2017-15095，又一个绕过。进入12月份，Fastjson和Jackson相继宣布了几个补丁修复那些黑名单的绕过；Weblogic XMLDecoder(CVE-2017-10352)的误差被普遍应用于于挖坑。由于许多误差都是远程代码执行，有的一个HTTP POST请求就能getshell，以是备受黑产亲睐。

反序列化误差

1 fastjson反序列化误差

2017年3月15日，fastjson官方宣布清静通告体现fastjson在1.2.24及之前版本保存远程代码执行高危清静误差。攻击者可以通过此误差远程执行恶意代码来入侵服务器。fastjson官方建议直接升级到1.2.28/1.2.29或者更新版原来包管系统清静。4月29日，本文作者AG公司科技清静研究员廖新喜（xxlegend）结构出了Fastjson的反序列误差的PoC，引起了清静圈的普遍讨论。详细的剖析可参照1，下面做简朴的回首。

后续官方修补

fastjson官方后续又添加了一些补丁，本文作者给fastjson官方提交了两次绕过，fastjson官方都宣布了响应更新。详细如下：

1. fastjson-1.2.34版本宣布，当autoType=true时增强清静防护

2. fastjson-1.2.42版本宣布 Bug修复清静加固

3. fastjson-1.2.43版本宣布 Bug修复清静加固

4. fastjson-1.2.44版本宣布 Bug修复清静加固

在fastjson-1.2.42版本中通过异或操作混淆了其黑名单，可以阻挡一部分人剖析其黑名单内容，着实这是自欺欺人的。详细的黑名单剖析读者可以自行研究。

2 Jackson反序列化

Jackson是一个开源的Java序列化与反序列化工具，可以将java工具序列化为xml或json名堂的字符串，或者反序列化回对应的工具，由于其使用简朴，速率较快，且不依赖除JDK外的其他库，被众多用户所使用。可是其组件Jackson-databind可以指定特定的反序列化类，这样就保存代码执行的危害。

后续官方修补

CVE-2017-15095是CVE-2017-7525的延续，这个误差同样也是本文作者报告的。同样是黑名单的绕过。 CVE-2017-17485是CVE-2017-7525的延续，这个误差引入的类是org.springframework.context.support.ClassPathXmlApplicationContext使用这个库的bean重新天生类，而这个bean所依赖的xml是由攻击者来定制的。从这里也可以看出黑名单就是个无底洞，深不可见，bypass也是不完。由于Jackson的特征，可以展望，Jackson在2018年还将泛起更多的绕过。

3 Struts2

struts2号称误差之王，2017应急中就处置惩罚了S2-045，S2-046，S2-48，S2-052，S2-055，都是远程代码执行级别的误差。S2-045的PoC现在还被黑客用于种种误差扫描，挖矿。既然是误差之王，那自然少不了反序列化，S2-052（CVE-2017-9805）就是XStream使用不当造成的反序列化。S2-055则是由于Jackson-databind导致的反序列化。这两个误差的典范特点都是不适当的使用第三方库导致的。

S2-052剖析

凭证官方的形貌信息来看，是REST插件使用到XStreamHandler处置惩罚xml数据的时间，由于未对xml数据做任何过滤，在举行反序列将xml数据转换成Object时导致的RCE。

S2-055剖析

2017年12月1日，Apache Struts宣布最新的清静通告，Apache Struts 2.5.x REST插件保存远程代码执行的中危误差，误差编号与CVE-2017-7525相关。误差的成因是由于使用的Jackson版本过低在举行JSON反序列化的时间没有任何类型过滤导致远程代码执行。虽然官方说的影响是未知，着实这里是远程代码执行。

4 Weblogic

在2017年，整个Oracle的产品线都深受反序列化影响，其中Weblogic影响面尤其普遍，许多误差的CVSS评分都是9.8，9.9甚至为10。

并且CVE-2017-3248的PoC已经在github上，并且被用于黑产，CVE-2017-10352 PoC也被泄露同样被用于黑产。

CVE-2017-3248 剖析

这个误差(CVE-2017-3248)就是使用rmi机制的缺陷，通过JRMP协议抵达执行恣意反序列化payload的目的。使用办法可以分为两步，第一步建设JRMP监听端口，第二步执行反序列化操作，其反序列化内容指向外部的JRMP监听端口，这样在反序列的历程中就会从远程JRMP监听端口加载内容并执行序列化操作，详细的使用工具可以使用ysoserial。

CVE-2017-10352 剖析

这个误差是由于XMLDecoder这个缺陷库保存代码执行问题，同样也是由于被黑产使用而被各人普遍得知。着实在CVE-2017-3506中，Weblogic官方已经做了一次修补，只是其时的修补不敷彻底，厥后有研究员给Weblogic提供了绕过的PoC，Weblogic官方再次完整修补。同时这个PoC也被泄露，很是多的用户中招。

对srcip：173.212.217.181溯源跟踪，从AG公司科技威胁情报中心NTI中的数据也能看出，该IP从2017年8月份最先，一直被用于特定误差扫描以便发明更多具有懦弱性的主机。

总结

从OWASP 2017 top ten报告中可以看出反序列化是一个业内都最先关注重视的误差类型，一个缘故原由就是该误差许多时间都是通过黑名单的方法的修复，这就导致了层出不穷的绕过，从Jackson，fastjson，weblogic一见眉目，都是修复，绕过，再修复，再绕过，没有止境。另外一个缘故原由就是该误差的危害很是大，通常都是RCE，一个PoC直接获取系统权限，不管是黑产，灰产，开发，运维尚有白帽清静职员都很是重视该类型的误差。从系统的主要性来看，海内许多商业系统都是基于Java框架开发，这些中心件或者Web容器一旦泛起误差，整个系统都变得不堪一击，可能造成不可挽回的影响。关于反序列误差的防御，业内也是一个难题，首先得确保所有的依赖库和容器已经更新到最新版本，这样能避免已知误差的攻击。另外AG公司科技的IPS，WAF都已经具备对这些误差的防护能力，更多的防护战略请参考AG公司科技下一篇关于反序列化误差防御的文档。

2017年反序列化误差年度报告下载

?

您的信息

<<上一篇

海内物联网资产的袒露情形剖析

>>下一篇

DedeCMS最新版恣意用户密码修改误差剖析

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

? 2026 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号