复现fastjson 1.2.24 反序列化导致任意命令执行漏洞

最新推荐文章于 2024-03-09 19:46:13 发布
最新推荐文章于 2024-03-09 19:46:13 发布
阅读量503 收藏
点赞数
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DXfighting_/article/details/124203163
版权
本文详细介绍了如何复现Fastjson 1.2.24版本的反序列化漏洞,包括启动漏洞环境、生成PHP马的class文件、在外网系统上部署HTTP服务、利用marshalsec项目启动RMI服务监听9999端口、修改请求数据包为POST并注入payload,最后通过蚁剑成功连接,展示了漏洞利用的完整过程。
摘要由CSDN通过智能技术生成

启动漏洞环境

访问

生成带有PHP马的class文件

最低0.47元/天 解锁文章
DXfighting_
关注
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1227
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4602
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_67621628的博客
03-22 2355
2.编译并启动环境 docker-compose up -d 3.查看环境运行状态 docker ps | grep rce 访问 8090 端口 []( )漏洞利用 首先 vulhub 给出的复现提示如下 因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制, 我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 首先编译并上传命令执行代码,如http://evil
fastjson 1.2.24 反序列化导致任意命令执行漏洞 复现超详细步骤
yc11223344的博客
07-05 1442
在本地启动环境: 首先我们需要一个java的环境 新建文件夹并且在文件夹里面建一个txt文件命名为TouchFile.java,里面写入代码 cmd在文件夹目录运行 就会看到生成了一个class文件可以看一下这位师傅的文章python2.x执行命令为python3.x执行命令为要在class文件下执行命令,进行监听8000端口 我们可以访问:本机ip:8000 我们借助marshalsec项目开启RMI服务,监听9999端口 下载完marshalsec之后,进到该目录下cmd运行会生成一个target文件夹
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_44248882的博客
05-29 385
fastjson 1.2.24 反序列化导致任意命令执行漏洞 fastjson 1.2.24 反序列化导致任意命令执行漏洞 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 漏洞环境 我们先下载环境,在github有别人直接搭建好的docker环境我们直接拿来用即可 git clone git://github.com/vulhub/vulhub.git cd
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
Welcome To Myon'Blog !
03-09 2812
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1303
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 901
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 892
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 921
fastjson 1.2.24 反序列化
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349)
m0_58596609的博客
01-05 1416
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349) 超详细
FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
又菜又爱倒腾的博客
10-29 2427
#FastJson1.2.24反序列化导致任意命令执行漏洞(CVE-2017-18349)# 一、漏洞简介 Pippo是一款基于Java的Web框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值