探秘Java安全漏洞:fastjson-RCE PoC工具包

最新推荐文章于 2024-06-27 23:24:46 发布
最新推荐文章于 2024-06-27 23:24:46 发布
阅读量395 收藏 10
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00074/article/details/139793569
版权

探秘Java安全漏洞:fastjson-RCE PoC工具包

在这个数字化的时代,软件安全至关重要,尤其是当我们谈论企业级应用时。开源社区一直是推动技术创新的重要力量,今天我们将深入探讨一个独特的开源项目——decomplie_jarfastjson,这是一个专门针对Java Fastjson库中潜在远程代码执行(RCE)漏洞的研究工具。

1、项目介绍

该项目旨在帮助开发者和安全研究人员识别并防范Fastjson中的两个RCE gadgets:一个是基于CommonsConfiguration的PoC,另一个是与Ojdbc14相关的PoC。通过decomplie_jar工具,你可以快速反编译本地JAR文件,然后利用scanner模块扫描出可能存在安全风险的源码段。

2、项目技术分析

项目的核心在于decomplie_jar,它使用先进的反编译技术,将二进制的JAR文件转化为可读的源代码形式。这使得我们能够查看代码的内部结构,识别可能存在的脆弱点。接着,scanner模块对这些源码进行深度扫描,寻找与已知漏洞匹配的部分,特别是在Fastjson库中的两个RCE gadgets。

fastjson部分,项目提供了两个具体的PoC例子,分别涉及CommonsConfigurationOjdbc14这两个依赖项。这些PoC展示了如何触发RCE漏洞,对于理解和防御这类攻击非常有帮助。

3、项目及技术应用场景

这个项目非常适合以下场景:

  • Java应用程序的安全审计:通过反编译和扫描,确保你的应用不包含易受攻击的Fastjson组件。
  • 安全研究:学习和理解RCE漏洞的工作原理,提高你的安全意识。
  • 教育培训:为学生或新入职员工提供实战案例,加深他们对软件安全的理解。

4、项目特点

  • 高效反编译decomplie_jar工具提供高效的JAR文件反编译,便于快速查看源代码。
  • 全面扫描scanner模块可深度扫描源码,查找潜在的RCE gadgets。
  • 实例丰富:提供的两个PoC实例有助于理解漏洞利用过程,具有很高的实操价值。
  • 开源社区支持:作为开源项目,它持续接收社区的更新和改进,保证了其及时性与有效性。

总的来说,这个项目不仅是一个实用的工具集,而且是深入了解和防止Java Fastjson RCE漏洞的重要资源。如果你正在开发、维护或者审计Java应用程序,那么这个项目绝对值得你关注并加入到你的工具箱中。立即尝试,让您的应用更安全!

戴艺音
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
探秘Fastjson RCE:一款强大的安全漏洞验证工具
gitblog_00077的博客
05-23 332
探秘Fastjson RCE:一款强大的安全漏洞验证工具 项目地址:https://gitcode.com/shengqi158/fastjson-remote-code-execute-poc 项目介绍 fastjson-rce-poc 是一个针对Fastjson库的安全漏洞验证项目,它可以帮助开发者和安全研究人员检测其应用程序是否易受远程代码执行(RCE)攻击。该项目提供了一种简单的方法来编译...
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2196
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
FastjsonRCE1.2.47】漏洞复现
02-24 1257
Fastjson漏洞原理和RCE1.2.47漏洞复现
Java - FastjsonRCE攻击模拟(远程代码执行漏洞)
Zong_0915的博客
12-03 1490
Java - FastjsonRCE问题分析及攻击模拟(远程代码执行漏洞)Fastjson出现RCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 Fastjson出现RCE问题的必要前提分析
热门Fastjson 中出现高危RCE漏洞
smellycat000的专栏
06-17 1271
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。JFrog 公司的研究员 Uriya Yavnie...
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 397
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
技术分享 | Fastjson-RCE漏洞复现
Jeeseen123的博客
05-26 474
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 复现 1.1 环境准备 攻击机1 用于接受反弹shell 系统:Win10 x64 安装nc,burpsuit
网络安全深入学习第七课——热门框架漏洞(RCEFastjson反序列化漏洞)
p36273的博客
09-18 1673
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
Fastjson_1.2.24_unserialize_rce漏洞复现
qq_45953122的博客
09-11 604
关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
fastjson 1.2.24 反序列化 RCE 漏洞复现
最新发布
m0_63299551的博客
06-27 324
具体可以参考这篇文章FastJson的介绍与使用(一)_maven fastjson-CSDN博客fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中。
fastjson 版本_又有得玩了,阿里巴巴旗下的fastjsonrce漏洞
weixin_39899630的博客
12-28 138
JSON,全称:JavaScript Object Notation,作为一个常见的轻量级的数据交换格式,应该在一个程序员的开发生涯中是常接触的。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。现在主流的对象与 JSON 互转的工具很多,我们主要介绍今天的主角,阿里巴巴的开源库 - Fastjson。Fastjso...
Fastjson反序列化漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
m0_71263989的博客
02-20 1006
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
Fastjson RCE漏洞利用与防护手段
不忘初心,护天下安全!
07-12 696
Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。项目地址:https://link.zhihu.com/?target=https%3A//github.com/alibaba/fastjson随着该框架的使用,安全人员发现了一系列反序列化漏洞,每一次都是IT界的“地震”。漏洞合集见:Fa
Fastjson RCE漏洞复现和理解
Delphinidae
03-28 2365
漏洞:fastjson 远程代码执行漏洞 漏洞原因:fastjson在执行反序列化时加载数据被注入,注入的数据被解析执行导致任意命令执行。 漏洞历史:现在fastjson的版本已经到了1.2.73了,但是历史上高危漏洞频繁出现。 如:1.2.24 出的反序列漏洞,经过对类的黑名单限制和autotype的关闭、checkautotype等,还是还被绕过限制,如:1.2.47,1.2.68 的漏洞,都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞。 漏洞复现:复现版本是1.2.47。 漏洞复现github上
java rce漏洞原理_fastjsonRCE漏洞复现记录
weixin_42133753的博客
02-27 578
参考链接:0x01 漏洞复现 RMi 1. payload:{"@type":"java.lang.Class",br/>"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl""@type":"com.sun.rowset.JdbcRowSetImpl",br/>},"b":{"@type":"com.s...
Fastjson RCE漏洞的绕过史
qingfeng2556的博客
08-01 505
https://blog.csdn.net/systemino/article/details/96352087 利用JSON反序列话过程中,潜在的loadClass分析,尝试不同的类,寻找出来的一些代码

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

戴艺音

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值