超级会员免费看
本文深入探讨了Fastjson反序列化漏洞,包括其起源、漏洞版本复现、利用方式和代码审计。Fastjson是一个常用的Java JSON库,其反序列化功能存在安全隐患,攻击者可通过构造恶意JSON触发代码执行。文章详细介绍了不同版本的漏洞利用技巧,如L;法、双写绕过等,并提供修复建议,强调升级到最新版本的重要性。
1、Fastjson简介
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。
项目地址:GitHub - alibaba/fastjson: A fast JSON parser/generator for Java.
“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。“
漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。构造一个触发器,也就是通过什么方式来让攻击链执行你想要的代码。触发器可以通过很多方式,比如静态代码块、构造方法等等。
Fastjson反序列化漏洞被利用的原因,可以归结为两方面:
1. Fastjson提供了反序列化功能,允许用户在输入JSON串时通过 “@type”键对应的value指定任意反序列化类名。
2. F
订阅专栏 解锁全文
扫一扫
1036
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
