fastjson反序列化利用

最新推荐文章于 2024-04-11 17:57:36 发布
VIP文章 最新推荐文章于 2024-04-11 17:57:36 发布
阅读量3.4k 收藏 4
点赞数 1
分类专栏: 漏洞 文章标签: fastjson getshell
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jiajiajiang_/article/details/103255659
版权

这是对fastjson反序列化的一次利用,关键信息会进行打码处理,且对方此漏洞已修复。

 

首先确定下是否使用了fastjson

在使用了json传数据的地方,尝试用一些特殊符号打算json的结构,使程序报错。

 

 我们尝试利用fastjson的漏洞

参考及需要文件下载:https://github.com/CaijiOrz/fastjson-1.2.47-RCE/

将下载好的其中一个Exploit.java文件中的IP与端口换成自己远程服务器的IP和端口(端口是等下你要开NC监听的端口)

 首先利用jdk1.6的javac将Exploit.java文件编译成一个Exploit.class文件(这里先从低版本试起,因为要和目标服务器的jdk版本相同)

命令为javac Exploit.java

java文件内容如下:

最低0.47元/天 解锁文章
一支神经病
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
FastJson反序列化分析
m0_49443776的博客
11-19 3985
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson反序列化漏洞
g1345444的博客
02-19 909
下载地址:https://github.com/RandomRobbieBF/marshalsec-jar。下载地址:https://github.com/welk1n/JNDI-Injection-Exploit。下载地址:https://github.com/pmiaowu/BurpFastJsonScan。下载地址:https://github.com/a1phaboy/FastjsonScan。将TouchFile.java文件内容修改为以下代码。地址:http://www.dnslog.cn/
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4131
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
Fastjson反序列化
Christ1na的博客
11-15 9543
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
fastjson反序列化
qq_37436172的博客
10-15 2626
Token定义 Token是Fastjson中定义的json字符串的同类型字段,即"{“、”["、数字、字符串等,用于分隔json字符串不同字段。 例如,{“姓名”:“张三”,“年龄”:“20”}是一个json字符串,在反序列化之前,需要先将其解析为 { 、 姓名、 :、 张三、 ,、 年龄、 :、 20、 }这些字段的Token流,随后再根据class反序列化为响应的对象。 在进行Token解析之前,json字符串对程序而言只是一个无意义的字符串。需要将json字符串解析为一个个的Token,并以Toke
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3560
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 1971
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
fastjson反序列化漏洞
qq_56426046的博客
11-20 6866
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
Fastjson反序列化讲解
weixin_45597678的博客
01-02 6077
文章目录一、Java自省机制简介二、漏洞分析三、漏洞利用 一、Java自省机制简介 Java自省机制是Java语言对JavaBean类属性、事件的一种缺省转换方式,对于类的私有属性需要设置set/get方法来获取和设置值的这是一种默认规则,而在Java中存在一个API让我们可以不用去了解这个规则这个API在包java.beans中的,通过这个API可以直接掉类中get/set方法去读取和设置类属性值 import java.beans.PropertyDescriptor; import java.la
Fastjson反序列化漏洞原理及详细复现过程
最新发布
2301_79837041的博客
04-11 964
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
fastjson反序列化 html
08-16
- *1* *2* *3* [Javaweb安全——Fastjson反序列化利用](https://blog.csdn.net/weixin_43610673/article/details/127293527)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值