推荐文章:深入理解并探索Fastjson RCE漏洞复现项目

于 2024-06-04 09:58:34 发布
阅读量229 收藏 4
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00028/article/details/139433746
版权

推荐文章:深入理解并探索Fastjson RCE漏洞复现项目

1、项目介绍

在当今的软件开发环境中,JSON(JavaScript Object Notation)已经成为数据交换的主要格式。fastjson是一个由阿里巴巴开发的Java语言编写的高性能功能完备的JSON库,广泛应用于各种Java应用中。然而,如同任何复杂系统一样,fastjson也存在安全风险。这篇推荐文章将带你了解一个专注于fastjson <= 1.2.80远程代码执行(RCE)漏洞的复现项目,它可以帮助开发者理解和防御这类潜在威胁。

2、项目技术分析

该项目主要关注的是fastjson在特定版本间的RCE漏洞,具体影响范围从1.2.76到1.2.82版本。漏洞触发的关键在于fastjson处理用户输入时的安全边界检查不足,结合存在Groovy依赖的应用,攻击者可以通过构造恶意JSON字符串来执行任意代码。

复现步骤包括:

  1. 编译项目中的attack模块生成attack-1.jar
  2. 使用Python内置的SimpleHTTPServer启动一个本地HTTP服务器,监听8433端口,以便提供恶意payload。
  3. 运行项目提供的POC(Proof of Concept),模拟攻击过程。

通过这个项目,你可以清晰地看到漏洞利用的全过程,进一步理解其原理和危害。

3、项目及技术应用场景

对于安全研究人员和软件开发者来说,这是一个理想的测试和学习平台。它可以用于以下场景:

  • 安全审计:帮助团队检测自己的应用程序是否受到该漏洞的影响,并制定相应的补救措施。
  • 教育训练:让开发人员了解如何避免类似的编程错误,提高代码安全性意识。
  • 应急响应:在类似漏洞被公开后,快速验证受影响的系统,并进行紧急修复。

4、项目特点

  • 实战性:提供了详细的复现流程,使得任何人都可以按照指南轻松复现漏洞。
  • 针对性:针对特定版本的fastjson,对症下药,有助于定位问题。
  • 教育价值:通过实际操作,加深对JSON反序列化漏洞的理解,提升安全防护技能。

总的来说,这个开源项目是理解和防止fastjson RCE漏洞的宝贵资源,对于保障你的应用安全有着不可忽视的价值。如果你的工作或研究涉及Java和JSON处理,那么这个项目无疑是你应该关注的。

孟振优Harvester
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
漏洞-fastjson1.2.24-RCE
jazzz98的博客
06-27 398
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出绿色的"
JSONException:com.alibaba.fastjson.JSONException: expect ‘:’ at 0, actual = 已解决
12-22
在编程过程中,我们可能会遇到各种异常,其中"JSONException: expect ‘:’ at 0, actual =" 是一个典型的Fastjson库在解析JSON时抛出的异常。Fastjson是阿里巴巴提供的一款高性能的JSON解析和生成库,它广泛应用于...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
fastjson_1.2.47rce漏洞
weixin_71090536的博客
01-23 1660
Fastjson是一个 Java 语言编写的高性能 JSON 解析器和生成器
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2201
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
网络安全深入学习第七课——热门框架漏洞RCEFastjson反序列化漏洞
p36273的博客
09-18 1677
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
FastjsonRCE1.2.47】漏洞
最新发布
02-24 1272
Fastjson漏洞原理和RCE1.2.47漏洞
Fastjson反序列化漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
m0_71263989的博客
02-20 1006
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
Fastjson RCE漏洞理解
Delphinidae
03-28 2372
漏洞fastjson 远程代码执行漏洞 漏洞原因:fastjson在执行反序列化时加载数据被注入,注入的数据被解析执行导致任意命令执行。 漏洞历史:fastjson的版本已经到了1.2.73了,但是历史上高危漏洞频繁出。 如:1.2.24 出的反序列漏洞,经过对类的黑名单限制和autotype的关闭、checkautotype等,还是还被绕过限制,如:1.2.47,1.2.68 的漏洞,都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞漏洞版本是1.2.47。 漏洞github上
Fastjson 1.2.47 RCE漏洞
wutiangui的博客
11-07 344
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发有回显。2.开启http服务。
Java - FastjsonRCE攻击模拟(远程代码执行漏洞
Zong_0915的博客
12-03 1497
Java - FastjsonRCE问题分析及攻击模拟(远程代码执行漏洞FastjsonRCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 FastjsonRCE问题的必要前提分析
Fastjson_1.2.24_unserialize_rce漏洞
qq_45953122的博客
09-11 604
关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3059
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson反序列化漏洞(1.2.24-rce)
siu~
10-16 171
FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增
漏洞库】Fastjson_1.2.47_rce
yuan_boss的博客
09-08 890
我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
漏洞分析】Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2365
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson中引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程中,没有使用Java自带的序列化机制,而是自定义了一套机制。
fastjson1.2.24rce漏洞
06-06
fastjson1.2.24rce漏洞是一种Java反序列化漏洞,攻击者可以通过构造恶意的JSON数据包,触发目标服务器上的fastjson库反序列化漏洞,从而实远程代码执行。该漏洞存在于fastjson 1.2.24及之前版本中,已经被修。如果您使用的是fastjson 1.2.24及之前版本,请及时升级到最新版本以避免被攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孟振优Harvester

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值