漏洞描述
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。 通过查找代码中相关的方法,即可构造出一些恶意利用链。
参考资料:
- 浅谈Fastjson RCE漏洞的绕过史 - FreeBuf网络安全行业门户
- http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/
漏洞环境及利用
搭建docker环境
环境运行后,访问即可看到JSON格式的输出。http://your-ip:8090
我们向这个地址POST一个JSON对象,即可更新服务端的信息:
因为目标环境是Java 8u102,没有的限制,我们可以使用的利用链,借助JNDI注入来执行命令。com.sun.jndi.rmi.object.trustURLCodebasecom.sun.rowset.JdbcRowSetImpl
首先编译并上传命令执行代码
我这里直接用主机编译成字节码文件(最好不要拖,可能因为这个损坏文件不能复现)
将生成的字节码文件拖到虚拟机并在字节码文件处开启http服务
使用Java反序列化利用工具marshalsec辅助开启RMI环境
marshalsec:
maven:
进入目录进行项目编译
进入target目录,可以看到编译成功
执行
向靶场服务器发送Payload,带上RMI的地址:
查看目录,看到文件创建成功
