Fastjson≤1.2.47 RCE

最新推荐文章于 2024-06-23 14:22:59 发布
最新推荐文章于 2024-06-23 14:22:59 发布
阅读量984 收藏
点赞数 1
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/limb0/article/details/106747307
版权
该博客详细介绍了Fastjson ≤ 1.2.47版本的一个远程命令执行(RCE)漏洞。文章讨论了autotype功能如何允许攻击者通过构造特殊数据进行恶意代码执行,以及受影响的版本。博主还阐述了漏洞的危害,即可能导致远程命令执行,并提供了漏洞验证的步骤,包括环境搭建、payload生成、攻击机配置以及利用marshalsec工具开启LDAP服务进行重定向。最后,给出了漏洞修复方案,建议升级到Fastjson的最新版本。
摘要由CSDN通过智能技术生成

Fastjson≤1.2.47 RCE

一、漏洞介绍

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

影响版本:
Fastjson1.2.47以及之前的版本

二、漏洞危害

远程命令执行。

三、漏洞验证

环境搭建:
实验环境 系统 IP地址
攻击机 win10 192.168.134.130
靶机 Centos7 192.168.134.133 
docker pull vulhub/fastjson     #拉取镜像
docker run -d -p 8080:8080 -p 8443:8443 initidc/fastjson1.2.47_rce    #连接容器

验证一下环境是否正常:
在这里插入图片描述
在这里插入图片描述

漏洞复现
编译生成payload

首先将以下代码保存为Exploit.java(反弹shell命令在代码内,可自行调整)

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
   
    public
最低0.47元/天 解锁文章
limb0
关注
专栏目录
Fastjson<=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 951
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 464
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
fastjson-1.2.47
12-07
fastjson-1.2.34
fastjson反序列化漏洞(fastjson-1.2.47
zyer
04-28 4171
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
fastjson最新版本库1.2.47
12-25
fastjon最新版本库1.2.47,分享资源,一起学习。
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1332
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
Fastjson1.2.47以及之前的所有版本
10-26
RCE漏洞允许攻击者通过恶意构造的JSON数据,使得Fastjson解析时执行非预期的代码,进而可能获取服务器权限、篡改数据或执行其他恶意操作。 具体来说,Fastjson的某些特性,如`parseObject`和`parseArray`方法,没有...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
1.2.47版本及其以下,Fastjson存在一个严重的远程代码执行(Remote Code Execution,RCE)漏洞,使得恶意用户有可能通过精心构造的数据输入,执行任意的系统命令,对系统的安全性构成严重威胁。 ## 漏洞背景与...
fastjson-1.2.47.jar
03-16
fastjson-1.2.47.jar,用于将java转换成json**********
fastjson-1.2.47-API文档-中文版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:com.alibaba,artifactId:fastjson,version:1.2.47 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
fastjson-1.2.47及源码、简单示例
08-30
fastjson-1.2.47及源码、简单示例
fastjson-1.2.47官方jar包下载
09-05
阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具备如下特征:速度最快,测试表明,fastjson具有极快的性能,超越任其他的JavaJson
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3457
Fastjson 1.2.47反序列化漏洞复现
Fastjson 1.2.47 远程命令执行漏洞复现分析环境
itgather的博客
04-04 1208
Fastjson-less1-2-47远程命令执行.rar(访问密码: 1150)
fastjson 1.2.47 远程命令执行漏洞
weixin_42786460的博客
10-14 588
fastjson 1.2.47 远程命令执行漏洞
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2783
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
fastjson_1.2.47 反序列化漏洞复现
acdcccc的博客
09-19 295
fastjson 1.2.47 反序列化漏洞复现
fastjson1.2.47远程代码执行&JNDI漏洞利用工具
最新发布
归零者的博客
06-23 945
Fastjson是一种Java库,用于处理JSON数据。它提供了一种简单高效的方式,用于将Java对象序列化为JSON,以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名,因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能,如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中,用于处理JSON数据。
fastjson-1.2.47下载
07-03
### 回答1: 要下载Fastjson-1.2.47,您可以按照以下步骤进行: 1. 打开您喜欢使用的浏览器,例如谷歌浏览器,火狐浏览器等。 2. 在搜索栏中输入"Fastjson-1.2.47下载",点击搜索按钮。 3. 在搜索结果中,您可能会找到许多网站提供的Fastjson-1.2.47的下载链接。选择一个您信任的官方网站,或者选择一些广受好评的下载站点。 4. 点击您选择的下载链接,进入Fastjson-1.2.47的下载页面。 5. 在下载页面上,您可能会看到一些说明和选项。根据您的需求,选择适当的选项,例如下载版本(如果有多个版本提供),下载平台等。 6. 点击"下载"按钮,开始下载Fastjson-1.2.47。 7. 下载完成后,找到下载的文件。通常情况下,它会保存在您的计算机的默认下载文件夹中。 8. 双击下载的文件,运行安装程序。按照提示完成安装过程。 9. 安装完成后,您现在可以使用Fastjson-1.2.47进行开发和其他操作了。 请注意,在任何时候下载软件时,要确保从可信的来源下载软件,并在安装之前使用杀毒软件进行扫描,以确保安全性。 ### 回答2: fastjson-1.2.47是一个用于Java编程语言的JSON(JavaScript Object Notation)解析器和生成器。它可以将Java对象转换为JSON格式的字符串,并将JSON字符串转换为对应的Java对象。要下载fastjson-1.2.47,您可以按照以下步骤进行操作: 1. 打开一个网页浏览器,进入fastjson的官方下载页面。 2. 在页面上找到fastjson-1.2.47的下载链接,并单击它。 3. 选择您希望将fastjson-1.2.47下载到的位置。这可以是您的计算机上的任何文件夹或目录。 4. 单击“下载”按钮开始下载fastjson-1.2.47。 5. 等待下载完成。下载速度取决于您的互联网连接速度和下载文件的大小。 6. 下载完成后,在您选择的目标位置找到下载的fastjson-1.2.47文件。 7. 可能需要解压缩fastjson-1.2.47文件(如果下载的是压缩包)。您可以使用解压缩软件(如WinRAR或7-Zip)来执行此操作。 8. 现在,您可以在您的Java项目中使用fastjson-1.2.47了。将fastjson的JAR文件添加到您的项目构建路径中,并根据fastjson的文档或示例代码来使用它。 通过按照上述步骤下载并使用fastjson-1.2.47,您将能够在您的Java项目中轻松地解析和生成JSON数据。 ### 回答3: 要下载fastjson-1.2.47,可以按照以下步骤进行操作: 1. 打开浏览器,进入fastjson的官方网站。 2. 在网站的顶部导航栏或页面中找到“下载”选项,并点击进入下载页面。 3. 在下载页面中,找到fastjson-1.2.47版本的下载链接,一般会以类似于“Download JSON-1.2.47”的形式呈现。 4. 点击下载链接,浏览器将开始下载fastjson-1.2.47的压缩包(通常为zip或tar.gz格式)。 5. 下载完成后,解压缩该压缩包到指定的目录中。 6. 接下来,可以根据需要将fastjson-1.2.47导入到项目中。可以使用IDE,如Eclipse或IntelliJ IDEA,在项目中创建一个新的库,并将解压后的fastjson文件夹添加到该库中;或者直接将fastjson的jar文件添加到项目的classpath中。 7. 确保正确导入fastjson后,即可开始使用fastjson-1.2.47进行JSON数据的处理和操作。 总结:要下载fastjson-1.2.47,首先访问fastjson的官方网站,找到下载页面并下载该版本的压缩包。然后解压缩,并将其导入到项目中,即可开始使用fastjson-1.2.47
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值