fastjson-BCEL不出网打法原理分析

最新推荐文章于 2024-03-03 08:16:32 发布
最新推荐文章于 2024-03-03 08:16:32 发布
阅读量2.1k 收藏 46
点赞数 34
文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dokii_i/article/details/135695391
版权

FastJson反序列化漏洞

与原生的 Java 反序列化的区别在于,FastJson 反序列化并未使用 readObject 方法,而是由 FastJson 自定一套反序列化的过程。通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法,将JSON 字符串还原成对象,当这些自动调用的方法中存在可利用的潜在危险代码时,漏洞便产生了。

fastjson用法:

1.将字符串转换为json格式,通过key获取value:

class jsonUser{
public static void main(String[] args) {
//正常使用将字符串转换成json格式,提取相关数据
String s = "{\"name\":\"小红\",\"age\":\"18\"}";
JSONObject jsonobject = (JSONObject) JSON.parse(s);
System.out.println(jsonobject.get("name"));
}}
小红

这么简单好用的一个功能为什么会出现漏洞?

2.将JSON还原成对象:

class jsonUser{
public static void main(String[] args) {
//正常使用将字符串转换成json格式,提取相关数据
String s = "{\"name\":\"小红\",\"age\":\"18\"}";
JSONObject jsonobject = (JSONObject) JSON.parse(s);
System.out.println(jsonobject.get("name"));
}}
小红
class User {
private String id;
User() {
System.out.println("User go");
}
public void setId(String ids) {
System.out.println("setId go");
this.id = ids;
}
public String getId() {
System.out.println("GetId go");
return this.id;
}
}
public class Fastjson {
public static void main(String[] args) {
User a = new User();
String json = JSON.toJSONString(a); //序列化 转为json
// System.out.println(json);
System.out.println(JSON.parseObject(json,User.class)); //反序列化 转为
原始数据
}
}

result:会自动调用 Get方法和构造方法。

图片

fastjson漏洞产生原因:

public class Fastjson {
public static void main(String[] args) {
JSONObject jsonObject =
JSON.parseObject({\"@type\":\"Java_deserialization.User\",\"id\":\"123\"}");
System.out.println(jsonObject);
}
}

result:会自动调用Get,Set,构造方法。

图片

这里fastjson提供了AutoType这种方式来指定需要还原的对象以及值 {"&

最低0.47元/天 解锁文章
网安Dokii
关注
fastjson BCEL不出打法
遇事不决冲冲冲
04-30 6616
BasicDataSource 如果目标服务器没有外、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
fastjson-c3p0:fastjson不出回显利用
03-19
fastjson-c3p0 fastjson不出回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
Fastjson不出利用
Shanfenglan's blog
02-19 5884
文章目录1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource2.com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl3. 双亲委派3.1 实现3.2 主动破坏双亲委派机制的方法3.3 为什么要破坏双亲委派3.4 为什么Tomcat要破坏双亲委派4. 参考文章 1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource 条件:BasicDataSource只需要有dbc
fastjson不出利用方案
最新发布
m0_62207482的博客
03-03 1427
Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用 org.apache.tomcat.dbcp.dbcp.BasicDataSource。# 目 前 公 开 已 知 的 poc 有 两 个 : com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。
浅析FastJson不出利用
ki10Moc的博客
11-14 2818
浅析FastJson不出利用
FastJson不出rce
yggcwhat
01-02 1227
FastJson不出rce
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
fastjson-1.2.72-API文档-中文版.zip
06-06
赠送jar包:fastjson-1.2.72.jar; 赠送原API文档:fastjson-1.2.72-javadoc.jar; 赠送源代码:fastjson-1.2.72-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.72.pom; 包含翻译后的API文档:fastjson-1.2....
fastjon不出利用
c0rdXy的博客
09-24 766
fastjon不出利用
[JAVA反序列化初学4]FastjsonBCEL字节码攻击分析
GX233的博客
05-08 3269
FastjsonBCEL
利用BCELfastjson直接burp回显getshell
2201_75353421的博客
08-03 1526
fastjson我曾经写过漏洞的原理,但是公遇到的漏洞越来越少,大多都是在内的环境,内里没办法使用dnslog去探测回显。这里学习一下用bcel链直接在bp中产生回显进而getshell。
fastjson
ZhiShangDeZuoMo的专栏
05-11 468
相关链接:      http://wangqiaowqo.iteye.com/blog/1958782
FastJson
止鱼
08-02 307
今天初步学习了Json,记录一下吧: 这次接触的Json是由Alibaba开发的基于Java的JSON处理器,主要特点是解析速度快 FastJson的入口:com.alibaba.fastjson.JSON, 他提供了一系列用于序列化、反序列化的方法: public static final Object parse(String text); // 把JSON文本parse为JSONObj
去面HVV蓝队面试了
分享Python知识
07-14 436
去面HVV蓝队面试了
反序列化漏洞和远控的结合
weixin_47208161的博客
08-08 808
牌桌攻和防的挑战和应战是安全团队兴衰的核心力量,一个组织如果可成功应对挑战,那么技术能力就会提升起来,否则组织就会走向衰落和解体。Azimuth、Vupen这类创业公司的兴起代表着现有的...
java序列化与反序列化
awake_lqh的博客
03-31 231
序列化和反序列化的概念 1、把对象转换为字节序列的过程称为对象的序列化。 2、把字节序列恢复为对象的过程称为对象的反序列化。 对象的序列化主要有两种用途: 1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2) 在络上传送对象的字节序列。 当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在络上传送。发送方需要把这个Java对象...
fastjson不出怎么利用
07-28
- *1* *2* [fastjson-BCEL不出打法原理分析](https://blog.csdn.net/weixin_49248030/article/details/127989449)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值