本文详细介绍了Fastjson远程命令执行漏洞的原理,包括如何利用autoType特性执行恶意代码。通过环境准备、漏洞复现等多个步骤,展示了从1.2.24到1.2.47不同版本的漏洞利用方法,强调了安全验证的重要性。
Fastjson简介
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象,提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。
//将字符串转化为对象 JSONObject obj=JSON.parseObject(jsonStr);
JavaBean:
JavaBean 是特殊的 Java 类,使用 Java 语言书写,并且遵守 JavaBean API 规范。JavaBean的特征:
-
提供一个默认的无参构造函数。
-
需要被序列化并且实现了 Serializable 接口。
-
可能有一系列可读写属性。
-
可能有一系列的 getter 或 setter 方法。
Fastjson远程命令执行漏洞原理
Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并用该类的set/get方法来访问属性。
其在反序列化的时候,会进入parseField方法,进入该方法后,就会调用setValue(object,value)方法,会将获取到的数组对象,赋予到@type class中的对应属性中。(在后面构造poc的时候详细说)在这里,就可能执行构造的恶意代码。从而造成代码执行。
通俗理解 :漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。攻击者通过这种方式,可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行更改,增加,删除等操作,对服务器造成巨大影响。
环境准备
1、安装docker
sudo apt update sudo apt install -y docker.io dockesystemclt enable docker --now sudo apt install docker-compose
2、安装vulhub
github下载,解压进入fastjson->1.2.24rce文件夹在这里打开终端(cd也行)
sudo docker-compose build sudo docker-compose up -d
3、配置java8
下载java8
最低0.47元/天 解锁文章
472
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
