fastjson漏洞#不出网#原理#流量特征

最新推荐文章于 2025-03-24 22:45:05 发布
最新推荐文章于 2025-03-24 22:45:05 发布
阅读量1.2k 收藏 17
点赞数 25
分类专栏: # HVV 网络空间安全 文章标签: 笔记 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80064376/article/details/146132528
版权

原理

本质是java的反序列化漏洞,由于引进了自动检测类型的(autotype)功能,fastjson在对json字符串反序列化的时候,会读取@type内容,会试图将json内容反序列化成这个对象,并调用这个类的setter方法,那么攻击者就可以构造特定的json内容和通过@type来指定自己想要的内部库,从而导致远程命令的执行漏洞

流量特征

  • 采用post方法

  • 发送数据包和返回包的数据类型为json类型

  • 还有就是他的请求报文的花括号没闭合,请求包就会出现fastjson字段

    • image

  • 响应包中有fastjson关键字

  • 对于无回显的fastjson漏洞,其返回包中存在@type和dnslog平台网址

  • 请求体可能含有攻击者c2服务器地址或者ladp协议,rmi协议的地址,还有就是,

  • 返回包状态码一般为400,也可能为500

  • 请求体中可能存在type,bytecodes,java.lang,返回包中含有commit = true

Fastjson不出网的利用与防护

利用

  1. 利用 TemplatesImpl

    • TemplatesImpl 是最常见的利用类,因为它自带 bytecodes 字段,攻击者可以植入恶意字节码。
    • 攻击无需额外依赖,只需要服务器环境支持 JDK。

  2. 利用 BasicDataSource

    • 针对 Tomcat 环境下的应用,攻击者可以利用 org.apache.tomcat.dbcp.dbcp.BasicDataSourceorg.apache.tomcat.dbcp.dbcp2.BasicDataSource 类。

    • 攻击者构造恶意 JSON,指向 BasicDataSource 类,通过某些触发条件实现远程代码执行。

    • 触发条件

      • 需要目标应用运行在Tomcat环境中
      • 必须在 JSON 解析时启用 Feature.SupportNonPublicField 特性。

    • Tomcat 版本要求

      • Tomcat 8.0 之前:org.apache.tomcat.dbcp.dbcp.BasicDataSource
      • Tomcat 8.0 之后:org.apache.tomcat.dbcp.dbcp2.BasicDataSource

防护

使用Fastjson的黑名单功能:Fastjson提供了一个黑名单功能,可以用于禁止某些Java类的序列化和反序列化。通过设置一些敏感类的黑名单,禁止序列化和反序列化这些类,从而避免一些恶意攻击。

对Fastjson进行安全加固:对Fastjson进行安全加固可以避免恶意攻击。可以通过开启自动类型识别检查、限制反序列化对象的深度、限制反序列化对象的大小等措施,提高Fastjson的安全性。

使用其他JSON处理器: 如果对Fastjson存在疑虑或者担心其安全性问题,也可以考虑使用其他JSON处理器,比如Jackson、Gson等。这些处理器同样具有高性能和易用性,并且也可以进行安全加固。

漏洞产生的原因

由于@type字段的可控性,攻击者可以将@type字段设置为特定且服务端可以使用的类,从而执行恶意代码。具体原理如下:

  1. @type字段的利用:在反序列化过程中,Fastjson会根据@type字段的值来确定反序列化后的Java对象的类型。
  2. 恶意类加载:攻击者可以指定一个特定的Java类,该类可以被利用来执行恶意代码。
  3. JNDI注入:利用一些常见的Java类(如com.sun.rowset.JdbcRowSetImpl)来进行JNDI注入攻击,通过访问远程RMI或LDAP服务器来执行恶意代码。

漏洞修复

几种修复和防护措施包括:

  1. 升级Fastjson版本:官方建议升级到最新版本,例如1.2.83版本。
  2. 禁用危险类
  3. 关闭AutoType功能:如果无法升级,可以暂时关闭AutoType功能降低风险。
  4. 配置WAF防护:使用Web应用防火墙(WAF)防护。
2024hw 蓝队面试题合集
Sumarua的博客
07-01 1070
2024HW蓝队面试题合集,面试题及答案
占坑规划——dnslog原理分析&私有搭建
viki1998的博客
06-11 258
盲猜通过访问目标站的web记录,把request中带的参数在日志中进行检测,10秒一轮 抓到返回ip 时间 正好web日志中间件都可以记录 这些内容 占个坑后续补充。起因:测试某只有发送记录的功能 想到xss平台然后想到dnslog私有化。开始前猜测如何实现 单从dnslog的实现来看。
Fastjson不出利用
Shanfenglan's blog
02-19 6241
文章目录1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource2.com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl3. 双亲委派3.1 实现3.2 主动破坏双亲委派机制的方法3.3 为什么要破坏双亲委派3.4 为什么Tomcat要破坏双亲委派4. 参考文章 1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource 条件:BasicDataSource只需要有dbc
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4278
本文章参考上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
【渗透测试】Fastjson 反序列化漏洞原理(一)
最新发布
SunnyCat
03-24 1066
反序列化漏洞是指攻击者通过构造恶意的 JSON 数据,使得反序列化过程执行了未经授权的代码。这通常发生在应用程序接受外部输入并将其反序列化为对象时,如果输入的数据格式不符合预期,或者应用程序没有适当地验证和过滤输入,攻击者可以注入恶意代码并执行。
JSON 之FastJson解析
H90P0820的专栏
03-11 1222
一、阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具备如下特征: 速度最快,测试表明,fastjson具有极快的性能,超越任其他的Java Json parser。包括自称最快的JackJson; 功能强大,完全支持Java Bean、集合、Map、日期、Enum,支持范型,支持自省;无依赖,能够直接运行在Java SE 5.0以上版本;支持Andro
Fastjson漏洞原理分析
LTianHang的博客
06-04 5608
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
fastjson不出利用方案
m0_62207482的博客
03-03 2038
Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用 org.apache.tomcat.dbcp.dbcp.BasicDataSource。# 目 前 公 开 已 知 的 poc 有 两 个 : com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。
fastjson反序列化漏洞
Kevin's Blog
06-04 9380
文章目录一、fastjson 1.2.24反序列化漏洞1.1 漏洞简介1.1.1 漏洞阐述1.1.2 影响范围1.1.4 漏洞原理1.1.3 限制条件1.2 环境搭建1.3 漏洞利用1.4 防御建议二、fastjson 1.2.47反序列化漏洞 一、fastjson 1.2.24反序列化漏洞 1.1 漏洞简介 1.1.1 漏洞阐述   FastJson是alibaba开源的一款开源的高性能的JSON库,用于将java对象转换为json形式,也可以用来将json转换为java对象,很多公司都在使用,于201
fastjson1.2.24反序列化漏洞
weixin_45805993的博客
11-05 590
漏洞详情 Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"选项。如果使用受影响版本中的默认solr.in.sh文件,那么将启用JMX监视并将其暴露在RMI_PORT上(默认值= 18983),并且无需进行任何身份验证。 如果防火墙中的入站流量打开了此端口,则具有Solr节点络访问权限的任何人都将能够访问JMX,并且可以上传恶意代码在Solr服务器上执行。该漏洞不影响Windows系统的用户,仅影响部分版本的
2024年hw蓝队初级面试总结_weblogic反序列化流量特征(1)
2401_84254530的博客
05-02 2469
最近遍览了各种安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的安全从学习路线到学习资料,甚至是工具有着不小的需求。相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的安全视频教程。当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份。,毕竟实战是检验真理的唯一标准嘛~最后就是项目实战,这里带来的是。
面试-JAVA漏洞和中间件篇
qq_52579508的博客
04-17 585
中间件IIS漏洞IIS PUT漏洞IIS Server 在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,造成任意文件上传。版本:IIS6.0短文件名猜解漏洞IIS的短文件名机制,可以暴力猜解短文件名,访问构造的某个存在的短文件名,会返回404,访问构造的某个不存在的短文件名,返回400。局限性1) 此漏洞只能确定前6个字符,如果后面的字符太长、包含特殊字符,很难猜解;2) 如果...
fastjson-c3p0:fastjson不出回显利用
03-19
fastjson-c3p0 fastjson不出回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
Fastjson反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 4万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1915
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
fastjson-BCEL不出打法原理分析
weixin_49248030的博客
11-22 3951
与原生的 Java 反序列化的区别在于,FastJson 反序列化并未使用 readObject 方法,而是由 FastJson 自定一套反序列化的过程。通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法,将 JSON 字符串还原成对象,当这些自动调用的方法中存在可利用的潜在危险代码时,漏洞便产生了。
fastjson到底做错了什么?为什么会被频繁爆出漏洞
HollisChuang's Blog
07-06 2万+
GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的真的不来了解一下吗! fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的
fastjson BCEL不出打法
遇事不决冲冲冲
04-30 7170
BasicDataSource 如果目标服务器没有外、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
fastjson不出打法—BCEL链
2301_76227305的博客
11-25 2258
BCEL的全名应该是Apache Commons BCEL,它是一个库。这个库里面有类叫com.sun.org.apache.bcel.internal.util,而这个类里面有一个classLoader类,ClassLoader类里面有一个loadClass方法,如果满足class_name.indexOf("$$BCEL$$") >= 0,那么就会调用createClass这个方法。我们跟踪进createClass方法看看,可以看到这里会对进来的数据进行解码,所以我们传payload时要进行编码。
fastjson漏洞流量特征
07-27
fastjson漏洞是指Fastjson这个Java的JSON库在处理恶意构造的JSON数据时存在安全漏洞,导致远程代码执行。由于Fastjson广泛应用于Java开发中,该漏洞威胁性较大。 在络流量中,可以通过以下特征来检测Fastjson漏洞: 1. Payload字符串:Fastjson漏洞利用的关键是构造恶意的JSON数据,其中包含特定的payload字符串。常见的payload包括类似于"\"@type\":\"com.xxx.XXX\""的字符串。 2. Fastjson版本:Fastjson漏洞存在于特定的版本中,可以通过识别请求或响应中的Fastjson版本号来判断是否潜在存在漏洞。 3. 异常堆栈:Fastjson漏洞触发时,通常会导致服务器端抛出异常。可以通过异常堆栈信息来判断是否存在Fastjson漏洞。 4. 请求方法和路径:Fastjson漏洞攻击通常会通过POST请求发送恶意JSON数据,因此可以通过检查请求方法和路径来筛选潜在的Fastjson漏洞攻击。 需要注意的是,以上只是一些常见的流量特征,具体的流量分析还需要结合实际情况和使用的安全工具来进行综合判断。此外,及时更新Fastjson库到最新版本也是防范Fastjson漏洞的有效措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CongSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值