fastjson反序列化利用

最新推荐文章于 2025-03-18 12:52:38 发布
最新推荐文章于 2025-03-18 12:52:38 发布
阅读量3.6k 收藏 4
点赞数 1
分类专栏: 漏洞 文章标签: fastjson getshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jiajiajiang_/article/details/103255659
版权
本文详细描述了一次针对fastjson反序列化漏洞的利用过程,包括如何确认漏洞存在、利用特殊符号破坏JSON结构、使用exploit代码、调整jdk版本、编译class文件、设置LDAP、HTTP和NC监听服务,以及发送触发漏洞的数据包,最终成功获取Webshell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

这是对fastjson反序列化的一次利用,关键信息会进行打码处理,且对方此漏洞已修复。

 

首先确定下是否使用了fastjson

在使用了json传数据的地方,尝试用一些特殊符号打算json的结构,使程序报错。

 

 我们尝试利用fastjson的漏洞

参考及需要文件下载:https://github.com/CaijiOrz/fastjson-1.2.47-RCE/

将下载好的其中一个Exploit.java文件中的IP与端口换成自己远程服务器的IP和端口(端口是等下你要开NC监听的端口)

 首先利用jdk1.6的javac将Exploit.java文件编译成一个Exploit.class文件(这里先从低版本试起,因为要和目标服务器的jdk版本相同)

命令为javac Exploit.java

java文件内容如下:

 

将此文件放到公网服务器下,然后开启LDAP、Web及NC

开启LDAP服务:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar mahalsec.jndi.LDA

最低0.47元/天 解锁文章
利用Vulnhub复现漏洞 - Fastjson 反序列化导致任意命令执行漏洞
JiangBuLiu的博客
07-03 9189
Fastjson 反序列化导致任意命令执行漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境生成字节码本环境目录结构解压war漏洞复现生成字节码构造POC漏洞利用本地测试 Vulnhub官方复现教程 https://vulhub.org/#/environments/fastjson/vuln/ 漏洞原理 http://xxlegend.com/2017/04/29/title-%20fas...
JAVA安全—FastJson反序列化&利用链跟踪&autoType绕过
2301_76227305的博客
02-07 1605
目前主流公开的利用链都进行了分析,后续如果有其它的链条,再慢慢分析吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Fastjson反序列化
Thewei666的博客
10-04 1420
Fastjson反序列化一共有三条利用反序列化核心反序列化是通过字符串或字节流,利用Java的反射机制重构一个对象。
Fastjson反序列化非常简单快速的原理分析和复现
最新发布
2302_76724233的博客
03-18 718
Fastjson是个阿里巴巴的开源组件,可以用来将java对象转化成json字符串,也可以反过来将json字符串转化成java对象。这两个过程就被称为“序列化”和“反序列化”。
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}] 数组里面封装数组的反序列化方法,通过两个bean,进行封装
fastjson反序列化
walton的博客
11-06 1682
对于maven工程,要将json数据反序列化需要个步骤: 1、添加fastjson的依赖 com.alibaba fastjson 1.2.39 2、安装GsonFormat插件(以下是IntelliJ Idea安装GsonFormat,其它ide的可以自行百度怎么安装插件) file--》settings--》Plugins,在搜索框中输入Gson
fastjson反序列化-1.2.24漏洞利用与分析
2301_80127209的博客
03-19 1136
Fastjson的1.2.24版本是最先发现漏洞的版本,这篇文章也是作为学习Fastjson反序列化的开端。后续会继续学习Fastjson高版本的绕过。反序列化之路任重而道远。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
fastjson反序列化 CVE-2017-18349
zkaqlaoniao的博客
12-19 294
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。序列化 String json_ser = "{"@type":"com.company.Student","name":"jack"}";序列化 String json_ser2 = "{"name":"jack"}";
fastjson反序列化TemplatesImpl
weixin_30883311的博客
12-28 451
环境参考第一个链接,直接用IDEA打开 编译EvilObject.java成EvilObject.class 先看poc,其中NASTY_CLASS为TemplatesImpl类,evilCode是EvilObject.class base64编码: final String evilClassPath = "E:\\Struts2-Vulenv-master\\PoCs-fast...
fastjson反序列化攻略
mashiro_hibiki的博客
03-19 907
Json.parseObject(json, User.class)方法中,通过指定@type的值实现定位某类,会执行User类的构造方法和属性中的get,set方法。• Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource。• Tomcat 8.0以下使用org.apache.tomcat.dbcp.dbcp.BasicDataSource。利用方式需要一个特定的触发条件,解析JSON的时候需要使用Feature才能触发。
FastJson反序列化分析
m0_49443776的博客
11-19 4233
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
fastjson反序列化怎么利用
02-19
### Fastjson 反序列化操作 在 Java 中使用 Fastjson 进行反序列化时,`@JSONField` 注解用于指定 JSON 字段名称与 Java 类属性之间的映射关系。这使得即使 JSON 键名和类成员变量名不一致也能正确解析。 对于 `@...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值