漏洞复现-fastjson1.2.24-RCE

0x00 实验环境

攻击机：Win 10、Win Server2012 R2（公网环境，恶意java文件所在服务器）

靶机也可作为攻击机：Ubuntu18 （公网环境，docker搭建的vulhub靶场）（兼顾反弹shell的攻击机）

0x01 影响版本

fastjson<=1.2.24

0x02 避坑指南

（1）Ubuntu18开启恶意加载RMI的java环境需要为低版本1.8的任意版本

（2）确保清楚知道自己在做什么

（3）python的简易网站使用的python版本为2.X（python -m SimpleHTTPServer 6666），3.X可直接使用

python -m http.server 6666

0x03 实验步骤

首先，进入靶场环境，我们可以看到这个漏洞平台:

 

以上为普通的json格式的数据上传

我们应该做的第一件事是判断该网站是否存在fastjson漏洞，这个我暂时还没研究出来，先复现一下吧。

首先第一件事就是要准备好实验环境：假设我的攻击主机使用的是一台，那么，这个逻辑是：

Ubuntu的8090端口存放靶场

Ubuntu的4444端口使用python开启一个简易的web站点（实验中我并未使用这个方法，而是直接使用了另一台在公网上的win server 2012R2的服务器搭建的web）

Ubuntu的2333端口监听反弹过来的shell 

还有一个比较重要的问题就是，攻击思路为：使用Ubuntu的java加载一个调用恶意文件的环境，再使用该环境远程加载一个恶意类，达到借刀进行命令执行的效果。

思路理清了我们就正式开始此次复现。

（1）在以下链接下载marshalsec辅助开启JAVA RMI环境：