vlhub_fastjson1.2.45

最新推荐文章于 2024-02-19 01:57:44 发布
最新推荐文章于 2024-02-19 01:57:44 发布
阅读量4.7k 收藏
点赞数
分类专栏: 笔记 文章标签: docker 容器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54525483/article/details/122768308
版权
本文详细介绍了如何在docker环境下复现fastjson的安全漏洞。首先,通过下载安装docker并部署vulhub,接着分析漏洞产生的原因——fastjson的autotype功能在反序列化时可能导致代码执行。然后,文章提供了利用工具和步骤,包括启动RMI服务、编码payload、发送反序列化命令等,最终成功获取shell。
摘要由CSDN通过智能技术生成

vlhub_fastjson1.2.45

1、环境搭建

1.1、下载安装docker

参考:https://zhuanlan.zhihu.com/p/82361096

1.2、将vulhub下载到本地

  1. 下载压缩包
wget https://github.com/vulhub/vulhub/archive/master.zip -O vulhub-master.zip
  1. 解压压缩包
unzip vulhub-master.zip
  1. 进入目录启动环境
cd /vulhub/fastjson/1.2.47-rce
docker-compose build #将镜像拉到本地
docker-compose up -d #启动镜像
docker ps

在这里插入图片描述
这里要看下.yml文件里的端口是否被占用,默认8080,若默认端口被占用的话,vim修改个端口就好了

然后访问
在这里插入图片描述
环境搭建完成

<

最低0.47元/天 解锁文章
Green_Hand_01
关注
专栏目录
Fastjson1.2.47 RCE
limb0的博客
06-14 985
Fastjson1.2.47 RCE 一、漏洞介绍 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列
搭建Vulhub靶场 【附图】
热门推荐
君莫hacker的博客
09-08 2万+
目录0x01简单概述0x02安装环境1. kali设置2. 更新软件源中的所有软件列表3. 安装https协议及CA证书0x03安装步骤一、安装Docker1. 下载安装2. 查看Docker是否安装成功3. 查看docker基本信息二、安装vluhub1. 安装pip32. 安装Docker-Compose3. 查看docker-compose版本三、安装vulhub靶场1. 克隆下载2. 随便进入一个靶场环境目录3. 对靶场进行编译4. 运行此靶场5. 查看启动环境6. 通过浏览器访问7. 关闭此靶场环
阿里巴巴(alibaba)fastjson -1.2.45.jar 包
01-24
1.基本的序列化 String objJson = JSON.toJSONString(Object object); 2反序列化(反序列化就是把JSON格式的字符串转化为Java Bean对象) User user1 = JSON.parseObject(userJson, User.class); List list1 = JSON.parseArray(listJson, Map.class);
fastjson-1.2.47官方jar包下载
09-05
阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具备如下特征:速度最快,测试表明,fastjson具有极快的性能,超越任其他的JavaJson
vulhub的安装与简单使用
西部壮仔的博客
03-19 1万+
介绍 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 安装dockerdocker-compose后即可开始使用vulhub: 安装docker 环境: ubuntu18.04 apt install docker.io snap install docker...
Vulhub漏洞环境使用教程
Sea_Sand息禅
04-21 1万+
Vulhub是一个比较全面的漏洞集合,收集了近年来许多的重要漏洞,以开源的形式呈现,以docker的形式进行环境配置,提供了更简单的漏洞复现,只需要简单的命令即可实现漏洞复现。 1、vulhub下载 下载地址:https://github.com/vulhub/vulhub 2、docker安装 apt-get install docker.io 安装后注意使用时启动docke:serv...
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
《深入解析Fastjson 1.2.66版本》 Fastjson是阿里巴巴开源的一个高性能的JSON库,它在Java世界中被广泛使用,为开发者提供了快速、方便地处理JSON数据的能力。Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括...
Java_FASTJSON 20x发布更快,更安全,建议您升级.zip
最新发布
05-22
Java_FASTJSON 20x是Java社区中广泛使用的JSON库Fastjson的新版本,它以其高效、易用的特点深受开发者喜爱。此次发布的20x版本带来了显著的性能提升和安全性改进,对于任何正在使用或者考虑使用Fastjson的开发团队来...
gson2.8.1_fastjson1.2.2
09-14
gson2.8.1的jar包_fastjson1.2.2的jar包,方便大家直接在java代码中使用,gson2.8.1的jar包_fastjson1.2.2的jar包,方便大家直接在java代码中使用
Json_Gson_FastJson解析
07-18
在Java世界中,有多种库可以帮助我们解析和生成JSON,其中最常用的包括org.json、Google的Gson以及阿里巴巴的FastJson。下面我们将详细探讨这三种JSON解析库的使用方法。 1. **org.json**: org.json是一个开源的...
为什么你面不上蓝中?你和别人差距在哪里?【Fastjson篇】
Liyu_6618的博客
02-19 927
为什么你面不上蓝中?你和别人差距在哪里?【Fastjson篇】
Fastjson各版本漏洞分析(下)
ZL_1618的博客
08-16 643
1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String,>, int)成功拦截分析一下,发现如果开头是[就直接抛出异常。
fastjson反序列化复现步骤
小白博客
12-16 4851
环境搭建 靶机 linux 攻击机 windows 恶意代码存放和rmi/ldap的服务机 linux 1.靶机环境搭建 需要搭建dockerdocker-compose建议老版本(注意检验docker-compose的版本是否与本机的架构一致)、下载docker-compose到目录/usr/local/bin/后 执行权限分配 sudo chmod 777 docker-compose 然后运行 ln -s /usr/local/bin/docker-...
Fastjson历史反序列漏洞分析(1.2.24-1.2.80)
dreamthe的博客
08-10 6118
本文章总结fastjson1.2.24到1.2.80所产生的反序列化漏洞,将其进行分析。希望多大家有帮助。
Fastjson历史漏洞复现
懂进攻知防守
07-27 1485
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
Fastjson漏洞复现
weixin_53747497的博客
03-29 2222
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法 来 访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson漏洞
qq_50854662的博客
10-09 5864
Fastjson漏洞
Fastjson反序列化
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
张小白的实验室Fastjson1.2.47反序列化漏洞复现
Litbai_zhang
07-10 813
实验环境 攻击机C:Windows 10 企业版 LTSC 靶机A:CentOS8 (公网) 监听主机B:Centos7(公网) 项目地址: https://github.com/vulhub/vulhub 该篇复现环境是fastjson1.2.47,复现手法同时适用于fastjson1.2.24,payload已在下文提供 基础环境搭建 在靶机A上安装docker curl https://download.docker.com/linux/centos/docker...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。然而,Fastjson存在反序列化漏洞,黑客可以利用该漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值