Fastjson 1.2.47反序列化漏洞复现

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量3.3k 收藏 4
点赞数
分类专栏: 漏洞详情及漏洞复现 文章标签: java linux 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54899775/article/details/123539074
版权

 目录

一. 前期准备:

二. fastjson简介

三. 漏洞复现(一):创建文件

 三. 漏洞复现(二):反弹shell

一. 前期准备:

        1. 安装jdk,并配置环境:Kali安装JDK 1.8的详细过程_m0_54899775的博客-CSDN博客

        2.安装maven,并配置环境:kali linux安装maven_m0_54899775的博客-CSDN博客

        3.安装vulhub靶场环境:Kali Linux 2020安装vulhub_m0_54899775的博客-CSDN博客

        4.安装反序列化工具marshalsec:下载和安装marshalsec_m0_54899775的博客-CSDN博客

二. fastjson简介

        Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。使用比较广泛。

三. 漏洞复现(一):创建文件

        1.启动靶场:

docker-compose up -d

先启动vulhub的fastjson 1.2.47漏洞环境

最低0.47元/天 解锁文章
景天zy
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Fastjson反序列化漏洞原理及详细复现过程
2301_79837041的博客
04-11 1458
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 1886
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 1451
复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是javajavac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
fastjson-1.2.47
12-07
fastjson-1.2.34
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 3977
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
vulhub复现fastjson1.2.47漏洞复现
m0_70483044的博客
07-14 2827
目录什么是json?fastjson有啥用?什么是fastjson?json语法规则为什么要引进AutoType?漏洞原理怎么确认存在漏洞的?漏洞复现反弹shell。
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 671
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1568
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
fastjson版本低于1.2.47出现的远程代码漏洞解决方案。
Fastjson反序列化漏洞史1
08-03
Fastjson 反序列化漏洞史2020年05月08日漏洞分析 (/category/vul-analysis/) · 404专栏 (/category/404
fastjson-1.2.47.jar
03-16
fastjson-1.2.47.jar,用于将java转换成json**********
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 362
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
Fastjson1.2.47反序列化漏洞复现
thelostworld
05-12 551
一、漏洞描述Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2338
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化Java Bean。
(环境搭建+复现Fastjson1.2.47版本反序列化漏洞复现
热门推荐
daxi0ng的博客
11-13 1万+
0x00 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 0x01 漏洞概述 Fastjson1.2.47反序列化漏洞 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型...
【网络安全Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2594
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
Fastjson1.2.47反序列化漏洞
weixin_51151498的博客
01-05 923
Fastjson1.2.47反序列化漏洞
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值