漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833

admin
admin
admin
102932
文章
87
评论
2022年10月21日08:25:49评论77 views字数 1111阅读3分42秒阅读模式
01
漏洞概述

fastjson是一款用Java语言编写的高性能功能完善的JSON库。可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。fastjson1.2.24及之前版本存在远程代码执行漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。


CNVD:https://www.cnvd.org.cn/flaw/show/CNVD-2017-02833

02
影响版本














影响版本
















fastjson <= 1.2.24

据来源于FOFA):

03
影响范围













影响范围















目前互联网存在资产如下(数据来源于FOFA):漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833
可以看到许多应用使用了fastjson组件,虽然这个漏洞属于N day,但是不排除不懂安全的开发人员引入较低版本的fastjson组件,从而造成安全风险。该组件的漏洞是攻防演练的“香饽饽”,不管是在攻防演练还是红队评估中,由于fastjson漏洞突破边界内网漫游的例子数不胜数。


04
漏洞等级



严重
05
漏洞复现



5.1 vulfocus靶机复现


POC:漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833


  漏洞验证: 漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833


岳府SEC-LAB已经复现了该漏洞,并且相关无害化利用代码已更新至我公司产品“岳戟-AI渗透测试管理平台”。


5.2 漏洞利用获取shell

使用JNDI工具搭建恶意LDAP服务:
漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833
NC开启监听,然后注入EXP:
漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833
可以看到,成功反弹shell。



06
修复建议




  • 升级至安全版本:

较低版本升级至最新版本 1.2.69 可能会出现兼容性问题,建议升级至特定版本的sec10 bugfix版本,请参考以下链接尽快修复:


https://repo1.maven.org/maven2/com/alibaba/fastjson/


  • 开启SafeMode:

若无法立即升级版本,可通过开启 SafeMode 来缓解此漏洞。fastjson在 1.2.68 及之后的版本中引入了SafeMode,配置 SafeMode 后,无论白名单和黑名单,都不支持 autoType,可一定程度上缓解反序列化Gadgets 类变种攻击。以下为配置 SafeMode 的三种方式。


1.在代码中配置:

ParserConfig.getGlobalInstance().setSafeMode(true)

2.加上JVM启动参数
-Dfastjson.parser.safeMode=true
如果有多个包名前缀,用逗号隔开

3.通过fastjson.properties文件配置
通过类路径的fastjson.properties文件来配置,配置方式如下:
fastjson.parser.safeMode=true
















END















漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833


原文始发于微信公众号(网络运维渗透):漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月21日08:25:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞复现:fastjson远程代码执行漏洞—CNVD-2017-02833https://cn-sec.com/archives/1362525.html

发表评论

匿名网友 填写信息