[Security] CVE-2022-25845

☝🏻 CVE-2022-25845

CVE-2022-25845는 FastJson의 AutoType 허용으로 RCE가 발생하게 되는 취약점이다.
FastJson에서는 json을 다시 object으로 바꾸는 형태로 많이 사용된다.
하지만 이때 @type에 정의된 타입을 코드 자체에서 정의한다. 이로 인해 @type을 변조하면 특정 클래스 객체를 생성할 수 있게 된다.

@type에 특정 클래스를, 이후에 원하는 인자값을 주면서 공격자가 원하는 코드를 실행할 수 있게 됩니다.

☝🏻 FastJson and Furious

Hack The Box에는 위와 같은 문제가 있다.

이 문제를 풀면서 좀 더 자세히 Fastjson 취약점을 어떻게 악용할 수 있는지 확인해보고자 합니다.

위와 같이 FastJson and Furious MainActivity의 onCreate() 메소드다. 이 메소드에서 JsonObject를 이용하여 json 을 클래스 object로 만들고 있다.
이후 입력받은 text를 이용하여 calHash() 를 호출한다.

calHash()는 다음과 같다.

이때 요구되는 text의 조건은 아래와 같다.

1. calHash()가 실행되기 위한 success의 값을 true로 바꿀 것.
2. parseObject의 키가 2개

실제로 다음과 같이 입력하면 flag를 얻을 수 있다.