fastjson复现

最新推荐文章于 2024-07-04 15:55:40 发布
最新推荐文章于 2024-07-04 15:55:40 发布
阅读量1.8k 收藏
点赞数 3
分类专栏: 漏洞学习 fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42133828/article/details/95797465
版权
本文详细介绍了2017年和2019年fastjson的远程代码执行漏洞,包括漏洞名称、类型、危害、涉及版本、修复版本等。通过测试过程展示了如何复现漏洞,并给出了修复方案,建议用户升级到1.2.58或更高版本以确保安全。
摘要由CSDN通过智能技术生成

fastjson2017-0315远程代码执行漏洞复现

漏洞名称:

fastjson远程命令执行漏洞

漏洞类型:

远程代码执行漏洞

漏洞危害:

高危

漏洞来源:

https://github.com/alibaba/fastjson/wiki/security_update_20170315

公布时间:

2017-03-15

涉及应用版本:

fastjson小于1.2.24的所有版本

poc适用于fastjson-1.2.22到1.2.24区间

修复版本:

fastjson版本大于1.2.25

应用语言:

Java

漏洞简介:

fastjson是一个java编写的高性能功能非常完善的JSON库,应用范围非常广,在github上star数都超过8k,在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。

漏洞影响:

攻击者可以通过此漏洞远程执行恶意代码来入侵服务器

漏洞分析:

根据官方给出的补丁文件,主要的更新在这个checkAutoType函数上,而这个函数的主要功能就是添加了黑名单,将一些常用的反序列化利用库都添加到黑名单中。具体包括

bsh,com.mchange,com.sun.,java.lang.Thread,java.net.Socket,java.rmi,javax.xml,org.apache.bcel,org.apache.commons.beanutils,org.apache.commons.collections.Transformer,org.apache.commons.collections.functors,org.apache.commons.collections4.comparators,org.apache.commons.fileupload,org.apache.myfaces.context.servlet,org.apache.tomcat,org.apache.wicket.util,org.codehaus.groovy.runtime,org.hibernate,org.jboss,org.mozilla.javascript,org.python.core,org.springframework

漏洞修复:

最近发现fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞,为了保证系统安全,请升级到1.2.28/1.2.29/1.2.30/1.2.31或者更新版本。

1.2.29//1.2.30/1.2.31是在1.2.28版本上修复了一些大家升级过程中遇到的问题的版本,非安全问题,如果升级到1.2.25~1.2.28以及各种sec01版本的,也是没有安全问题的。

1.2.25/1.2.26/1.2.27/1.2.28/1.2.29/1.2.30都是在升级的过程中修复不兼容问题发布的过度版本,如果你是在此之前升级到这些版本,不用因为这次的安全问题再次升级。

参考文章:

http://xxlegend.com/2017/04/29/title- fastjson 远程反序列化poc的构造和分析/

http://xxlegend.com/2018/10/23/基于JdbcRowSetImpl的Fastjson RCE PoC构造与分析/

最低0.47元/天 解锁文章
南人旧心1906
关注
专栏目录
fastjson1.2.24反序列化RCE
06-24
复现这个漏洞,我们需要创建一个恶意的JSON字符串,然后使用Fastjson的`JSON.parseObject()`或`JSON.parseArray()`方法进行反序列化。以下是一些关键步骤: 1. **构建恶意JSON数据**:创建一个包含`MethodHandle`...
【漏洞公告】Fastjson远程代码执行漏洞
Lam's IT Story
03-17 2164
2017年3月15日,Fastjson 官方发布安全公告,该公告介绍fastjson在1.2.24以及之前版本存在代码执行漏洞代码执行漏洞,恶意攻击者可利用此漏洞进行远程代码执行,从而进一步入侵服务器,目前官方已经发布了最新版本,最新版本已经成功修复该漏洞。 具体漏洞详情如下: 漏洞编号: 暂无 漏洞名称: Fastjson远程代码执行漏洞 官方评级: 高危 漏洞描述: fa...
复现fastjson反序化漏洞(fastjson≤1.2.80)
TVT111的博客
07-21 2969
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson反序化漏洞
fastjson-1.2.24漏洞复现
最新发布
qq_43599126的博客
07-04 1177
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞。
fastjson复现利用
qq_43660551的博客
08-16 1536
进入target下,启动rmi服务:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.0.104:8080/#TouchFile" 2222。上传恶意文件到公网,在本机打开命令行,进入存放java文件的目录,javac TouchFile.java编译刚才的java文件,编译完成在当前目录下发现class文件已经存在:TouchFile.class。至此,攻击环境准备好了。.....
fastjson漏洞复现
m0_63017769的博客
11-08 402
Fastjson是一个阿里巴巴开源的Java库(项目地址为:https://github.com/alibaba/fastjson),它用于将Java对象转换为JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象,并且它提供了高性能的JSON解析和序列化功能。
Fastjson反序列化漏洞原理与复现
FisrtBqy的博客
05-15 3488
Ffasjson反序列化漏洞原理与复现
JNDIExploit-1.4-SNAPSHOT.jar
01-10
编译后的JNDIExploit-1.4-SNAPSHOT.jar,可以直接用,1.4版本支持tomcatBypass路由直接上线msf。
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson-c3p0 fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko)...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2216
Fastjson反序列化漏洞复现
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6376
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson复现-详细
赵花花08042的博客
11-11 3123
https://vulhub.org/#/environments/fastjson/1.2.24-rce/ http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/ https://www.freebuf.com/vuls/208339.
【网路安全---漏洞复现Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1877
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
FastJson反序列化漏洞(复现
小赵同学的博客
07-29 3971
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2476
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 3882
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值