一、介绍
Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。
二、漏洞原理
Fastjson漏洞的攻击原理基于Java反射机制,攻击者通过构造特定的JSON字符串触发Fastjson的反序列化操作,进而达到执行任意代码的且的。
三、特征
查看在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在fastjson-1.2.*.**.jar格式的jar文件,或者抓包发现被测应用系统的响应报文中包含"com.alibaba.fastjson"字符串,则需检测是否存在fastjson反序列化漏洞。
四、复现
1.2.24-rce
环境搭建
访问
下载JNDI利用工具
地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0