【漏洞复现】Jmeter RMI反序列化命令执行

于 2024-10-08 13:40:09 发布
阅读量19 收藏
点赞数
分类专栏: 【漏洞复现】 文章标签: jmeter 漏洞复现 Jmeter RMI 反序列化 JAVA安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/142757458
版权
【漏洞复现】 专栏收录该内容
10 篇文章 1 订阅 ¥9.90 ¥99.00
订阅专栏
影响范围

Apache Jmeter 2.x

Apache Jmeter 3.x

漏洞介绍

Apache JMeter是美国阿帕奇(Apache)软件基金会的一套使用Java语言编写的用于压力测试和性能测试的开源软件,其2.x版本和3.x版本中存在反序列化漏洞,攻击者可以利用该漏洞在目标服务器上执行任意命令

环境搭建

在这里我们使用Vulhub来构建环境:

docker-compose up -d

漏洞复现
端口扫描

首先使用Nmap进行端口扫描探测发现目标主机在1099端口开启了JAVA RMI服务

nmap -sT -A 192.168.204.137

漏洞利用

使用ysoserial即可进行利用,这里用的是BeanShell1这条gadget

了解本专栏 订阅专栏 解锁全文
FLy_鹏程万里
关注
专栏目录
订阅专栏
fastjson反序列化JdbcRowSetImpl链
qq_40710190的博客
07-08 382
fastjson利用链
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
易编橙 · 终身成长社群,相遇已是上上签!
11-16 1082
fastjson 阿里巴巴开发的一个JSON解析库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
Fastjson反序列化
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-05 1612
fastjson
fastjson反序列化
weixin_62688091的博客
04-13 203
fastjson和logj2差不多都是Java反序列化漏洞。Fastjson是阿里巴巴的开源。dataSourceName传参的:rmi://格式的字符串,支持将。
fastjson反序列化攻略
mashiro_hibiki的博客
03-19 784
Json.parseObject(json, User.class)方法中,通过指定@type的值实现定位某类,会执行User类的构造方法和属性中的get,set方法。• Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource。• Tomcat 8.0以下使用org.apache.tomcat.dbcp.dbcp.BasicDataSource。利用方式需要一个特定的触发条件,解析JSON的时候需要使用Feature才能触发。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4576
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
漏洞复现】Fastjson反序列化
网络安全知识分享
12-31 5911
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2、fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
java版本共存与fastjson反序列化rmi服务器的搭建
一个努力学习网安的小牛马
04-30 964
实用就完了
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2253
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 882
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
JNDI加载RMIServer,对FastJson的反序列化攻击,.zip
09-30
这个压缩包文件的标题“JNDI加载RMIServer,对FastJson的反序列化攻击”揭示了一个常见的安全漏洞,即FastJson的反序列化漏洞。让我们深入探讨这个话题。 首先,JNDI(Java Naming and Directory Interface)是一种...
阿里巴巴开源的FastJson 1反序列化漏洞复现流程
10-04
包含RMI服务所需的内容和测试使用的攻击FastJson1反序列化漏洞Java文件
FastJson反序列化
Finlinlts的博客
08-30 3688
Fastjson允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用
Jmeter中有关属性的获取的问题
xiaoCCD的博客
10-04 343
当用props.setProperty()方法设置好'password'的值后,再用${__property('password')}方法去获取属性值,结果返回password这个键值,并没有返回对应的属性值。这里看到,在jmeter属性列表里没有'password'这个属性时,使用${__property('password')}去获取属性值,因为属性不存在,返回属性名;这里可以看到使用${__P('password')}方式去获取属性值是行得通的。
Jmeter常用函数、逻辑控制器
Betray391的博客
09-30 1259
测试人员一些Jmeter常用函数、逻辑控制器
Jmeter生成JWT token
weixin_45531218的博客
10-02 984
JSON Web令牌(JWT)是一个开放标准(RFC 7519),它定义了一种紧凑而自包含的方式,用于在各方之间以JSON对象的形式安全地传输信息。此信息可以验证和信任,因为它经过了数字签名。JWT可以使用密钥(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名。JSON Web令牌由三个部分组成,即:Header、Payload、Signature,这三者由两个点(.)分隔开。通常JWT展示为:Header.Payload.Signature。Header。
jmeter学习(7)beanshell
最新发布
daxiashangxian的博客
10-06 269
打开日志选项,beanshell的log可以在日志中查看log.info("deviceId")举例:获取返回数据中的字段。
微服务JMeter解析部署使用全流程
m0_71240584的博客
09-30 1011
Apache JMeter 是 Apache 组织基于 Java 开发的压力测试工具,用于对软件做压力测试。
jmeter学习(1)线程组与发送请求
daxiashangxian的博客
10-03 710
1、线程组执行顺序 :setUp线程组 > 线程组 > tearDown线程组2、 发送请求可以发送http、java、dubbo 请求等下面讲解发送http1)Http请求默认值作用范围是该线程组下的所有HTTP请求,如果http请求设置的与默认值冲突,以请求中设置为准如果Http请求默认值位于某个具体的HTTP请求下方,则只会对该请求生效‌2)HTTP信息头管理器如果HTTP信息头管理器位于线程组下方,它将作用于线程组内所有的HTTP请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值