fastjson 1.22-1.24 漏洞复现与分析

最新推荐文章于 2024-05-30 14:49:13 发布
最新推荐文章于 2024-05-30 14:49:13 发布
阅读量699 收藏
点赞数 1
文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31065143/article/details/114634950
版权
本文详细分析了Fastjson 1.22-1.24版本的漏洞,包括RMI、JRMP、JNDI的概念和相关示例代码,重点探讨了反序列化过程中的风险点,如Json.parse系列函数的行为,以及JdbcRowsetlmpl和Templateslmpl漏洞的触发条件和复现步骤。通过对漏洞的深入分析,揭示了利用链的工作原理,强调了解决这些问题的重要性。
摘要由CSDN通过智能技术生成

fastjson 1.22-1.24 漏洞复现与分析

前言

QAQ,感觉自己啥也不会,要好好努力学习了。但是由于本人遗忘度很大,因此要记下来学习QAQ。

概念

RMI(Remote Method Invocation)

Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。

Java RMI极大地依赖于接口。在需要创建一个远程对象的时候,程序员通过传递一个接口来隐藏底层的实现细节。客户端得到的远程对象句柄正好与本地的根代码连接,由后者负责透过网络通信。这样一来,程序员只需关心如何通过自己的接口句柄发送消息。

乱七八糟的一大串,简单来说,RMI就是一个只java远程调用方法的行为。

JRMP(Java Remote Method Protocol)

Java远程方法协议(英语:Java Remote Method Protocol,JRMP)是特定于Java技术的、用于查找和引用远程对象的协议。这是运行在Java远程方法调用(RMI)之下、TCP/IP之上的线路层协议(英语:Wire protocol)。

JNDI(Java Naming and Directory Interface)

Java命名和目录接口(Java Naming and Directory Interface,缩写JNDI),是Java的一个目录服务应用程序接口(API),它提供一个目录系统,并将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象。

就是一个接口,可以通过lookup方法访问其所绑定的对象。

示例代码
程序A

继承Remote的HelloService接口:

public interface HelloService extends Remote {
	String sayHello() throws RemoteException;
}

HelloService的实现

public class HelloServiceImpl extends UnicastRemoteObject implements HelloService {
	public HelloServiceImpl() throws RemoteException {
	}

	@Override
	public String sayHello() throws RemoteException {
    	System.out.println("hello!");
    	return "hello!";
	}
}

RMI服务端

public class RMIServer {
	public static void main(String[] args) {
    	try {
        	Registry registry = LocateRegistry.createRegistry(1099);
        	registry.bind("hello", new HelloServiceImpl());
    	} catch (RemoteException e) {
        	e.printStackTrace();
    	} catch (AlreadyBoundException e) {
        	e.printStackTrace();
    	}
	}
}
程序B
public class RMIClient {
	public static void main(String[] args) {
    	try {
        	HelloService helloService = (HelloService)LocateRegistry.getRegistry("127.0.0.1", 1099).lookup("hello");
        System.out.println(helloService.sayHello());
    	} catch (RemoteException e) {
        	e.printStackTrace();
    	} catch (NotBoundException e) {
     	   e.printStackTrace();
    	}
  }
}

先执行程序A再执行程序B就会打印hello。


程序A启动了一个RMI的注册中心,并把HelloServiceImpl暴露在注册中心中。程序B启动之后通过命名寻找方法,最后通过JRMP协议发起RMI请求,程序A输出hello后将信息序列化发送给程序B,最后程序B反序列化输出。

反序列化

反序列化有三个函数:

parse (String text) 
parseObject(String text)
parseObject(String text, Class clazz)

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;

import java.util.Properties;

public class fastjsonTest {
   
    public String t1;
    private int t2;
    private Boolean t3;
    private Properties t4;
    private Properties t5;

    public String getT1() {
   
        System.out.println("getT1()");
        return t1;
    }

    public void setT1(String t1) {
   
        this.t1 = t1;
        System.out.println("setT1()");
    }

    public int getT2() {
   
        System.out.println("getT2");
        return t2;
    }

    public void setT2(int t2) {
   
        System.out.println("setT2");
        this.t2 = t2;
    }

    public Boolean getT3() {
   
        System.out.println("getT3");
        return t3;
    }


    public Properties getT4() {
   
        System.out.println("getT4");
        return t4;
    }



    public Properties getT5() {
   
        System.out.println("getT5");
        return t5;
    }

    public void setT5(Properties t5) {
   
        System.out.println("setT5");
        this.t5 = t5;
最低0.47元/天 解锁文章
pyshare
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
fastjson 1.22-1.24 TemplatesImpl反序列化漏洞分析
Vicl1fe的博客
07-09 728
前言 看了别人的文章,我也打算先分析TemplatesImpl利用链,关于fastjson的使用可以参考:fastjson 使用 环境 jdk 1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency&
fastjson 1.2.24反序列化导致任意命令执行漏洞分析记录
爱无止
11-25 2249
环境搭建:小说搜索 shupu.org 漏洞影响版本: fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常访问页面返回hello,world~ 此时抓包修改content-type为json格式,并post payload,即可执...
Fastjson系列漏洞实战和总结
热门推荐
jammny
10-13 2万+
前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 Fastjson<1.2.24远程代码执行(CNVD-2017-02833 ) 漏洞详情 fastjson解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意..
java代码审计之fastjson反序列化漏洞
最新发布
CheatMyself的博客
05-30 960
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化。
框架/组件漏洞系列2:fastjson漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-04 1万+
一、Fastjson 概况 1、fastjson简介 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 优点: FastJson数度快,无论序列化和反序列化,都是当之无愧的fast 功能强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum) 零依赖(没有依赖其它任何类库) 2、漏洞.
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 2927
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本来修复这些已知的安全问题。 Fastjson安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
Fastjson_1.22-1.24漏洞分析
12-06 448
Fastjson_1.22-1.24漏洞分析 Fastjson是一个库,可以将java对象转换为json字符串,也可以将json字符串转换为java对象。 Fastjson简单使用 Fastjson通过 toJSONString 方法把java对象转换为 json 字符串,通过 parse/parseObject 把json字符串转换为java对象,简单看个例子理解它们的区别
Json 解析学习
DeaSun
06-08 344
数据:{“name”:“userGroup”, “users”: [{“password”:“123123”,“username”:“zhangsan”}, {“password”:“321321”,“username”:“lisi”}]} 需要创建两个 JavaBean,第一个 JavaBean 包括 String 类型的 name,和 List 类型 的 users。因为 users 有中括号...
fastjson 反序列化的时候 autoType is not support
张小凡
05-27 4790
网上一堆答案,官网给出的https://github.com/alibaba/fastjson/wiki/enable_autotype 我的问题其实很简单: { .... ErrorMsgObject errorMsgObject = new ErrorMsgObject(msg, req, e); errorMsgObject.setStatus("fai...
使用FastJson parseObject方法时,json字符串解析成对象后,部分属性丢失问题处理
腾龙凌九霄
10-14 8611
出现此类问题的原因会有多种, 本文仅介绍发现的一种情况,不一定适用所有的场景 情景:   JavaBean 中没有默认的构造方法 例如: public class Student{ public static void main(String[] args) { String jsonStr = "{\"id\":1,\"name\":\"Ming\",\"age\":18,\"phone\":\"23333333333\",\"address\"...
fastjson 1.2.24 反序列化
浮生一世暖流年的博客
12-24 501
环境搭建 使用vulhub搭建环境复现漏洞 vulhub 运行命令:docker-compose up -d,访问IP:8090可以看到JSON格式的信息 漏洞复现 首先编译好恶意类 import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
[json]阿里fastjson1.2.24字符串转为json对象/数组
weixin_33743703的博客
05-20 1369
2019独角兽企业重金招聘Python工程师标准>>> ...
网络安全最新hw蓝队初级面试总结_weblogic反序列化流量特征,2024年最新阿里架构师经验分享
2401_84520118的博客
05-10 920
导致shiro反序列化的主要原因就是shiro提供的记住密码功能,当用户打开这个功能时会在请求阿包中生成一个cookie,cookie的value值是经过反序列->aes加密->base64加密后的字符串,关键在于aes加密的秘钥是默认的,如果没有修改这个秘钥,就会导致反序列化漏洞,攻击者可以构造恶意代码,将恶意代码序列化-aes加密-base64加密后传入cookie,这样就导致RCE漏洞。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;
fastjson反序列化漏洞复现过程
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值