今天给大家介绍的是一款名叫Freddy的开源工具，该工具的功能基于主动/被动式扫描，在Freddy的帮助下，研究人员可以快速查找Java和.NET应用程序中的反序列化安全问题。

Freddy介绍

工具引入了一款Burp Suite插件来检测并利用目标引用程序中序列化库/ API中的安全漏洞。

早在2017年美国Black Hat黑客大会以及DEF CON25上，研究人员Alvaro Muñoz和Oleksandr Mirosh曾发布过一份标题为《Fridaythe 13th: JSON Attacks》的研究报告。研究人员在报告中指出，他们对大量Java和.NET应用程序中的JSON以及XML序列化库进行了安全分析，并且发现大多数库都支持对运行时对象进行序列化操作，而这种情况很容易引发反序列化安全问题，并导致任意代码/命令执行漏洞出现。

这款插件由Nick Bloor（@nickstadb）开发，基于的也是Alvaro Muñoz和Oleksandr Mirosh的研究成果。

该插件实现了主动式和被动式扫描这两种方式，可以识别并利用目标代码库中的安全漏洞。

功能介绍

被动式扫描

Freddy可以通过识别类型标识符、HTTP请求签名或HTTP响应来被动检测目标代码库或API中潜在的序列化/反序列化漏洞。比如说，代码库FastJson使用了一个JSON域“$types”来指定序列化对象的类型。

主动式扫描

Freddy引入了主动式扫描功能，可以在扫描的过程中，尝试对受影响的代码库进行漏洞利用测试。主动式扫描在检测和利用目标漏洞时使用了下列三种方法：基于异常的检测、基于时间的检测和基于Collaborator的检测。

基于异常的检测

在基于异常的主动扫描过程中，Freddy会向HTTP请求中注入测试数据，并尝试触发异常或错误信息。如果在目标应用程序所返回的响应信息中观察到了错误信息，那么就说明这里存在安全问题。

基于时间的检测

在某些情况下，基于时间的测试Payload可以用来检测安全漏洞，因为操作系统的命令执行会在反序列化的过程中被触发执行，在这个过程中，其他活动都会被阻止，直到操作系统命令执行完成。Freddy使用的Payload中包含了“ping [-n|-c] 21 127.0.0.1”，目的就是为了实现命令的延迟执行。

基于Collaborator的检测

基于Collaborator的Payload使用了nslookup命令来解析Burp Suite Collaborator生成的域名，并且会尝试从这个域名向Java应用程序中加载远程类。Freddy每隔60秒就会检查一次Collaborator的问题反馈，并以下列形式将问题记录在日志文件中。

RCE(Collaborator)

支持的扫描对象

目前该工具支持的扫描对象有：

Java

BlazeDSAMF 0 (detection, RCE)

BlazeDSAMF 3 (detection, RCE)

BlazeDSAMF X (detection, RCE)

Burlap(detection, RCE)

Castor(detection, RCE)

FlexJson(detection)

Genson(detection)

Hessian(detection, RCE)

Jackson(detection, RCE)

JSON-IO(detection, RCE)

JYAML(detection, RCE)

Kryo(detection, RCE)

Kryousing StdInstantiatorStrategy (detection, RCE)

ObjectInputStream(detection, RCE)

Red5AMF 0 (detection, RCE)

Red5AMF 3 (detection, RCE)

SnakeYAML(detection, RCE)

XStream(detection, RCE)

XmlDecoder(detection, RCE)

YAMLBeans(detection, RCE)

.NET

BinaryFormatter(detection, RCE)

DataContractSerializer(detection, RCE)

DataContractJsonSerializer(detection, RCE)

FastJson(detection, RCE)

FsPicklerJSON support (detection)

FsPicklerXML support (detection)

JavascriptSerializer(detection, RCE)

Json.Net(detection, RCE)

LosFormatter(detection, RCE) - Note not a module itself, supported throughObjectStateFormatter

NetDataContractSerializer(detection, RCE)

ObjectStateFormatter(detection, RCE)

SoapFormatter(detection, RCE)

Sweet.Jayson(detection)

XmlSerializer(detection, RCE)

项目地址

Freddy：【GitHub传送门】

许可证协议

本项目遵循开源许可证协议agpl-3.0。

*参考来源：nccgroup，FB小编Alpha_h4ck编译，转载请注明来自FreeBuf.COM