fastjson反序列化漏洞

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量195 收藏
点赞数
分类专栏: web安全 文章标签: java 网络安全 web安全 安全 安全威胁分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43988909/article/details/131341108
版权

Fastjson

特点:速度快、使用广泛、测试完备、使用简单、功能完备

使用方法
<dependency>
<groupId>com.alibaba</groupId>
<artifactId>fastjson</artifactId>
<version>1.2.44</version>
</dependency>

工程:fastjson-vul
对象类:User.java
测试类:JsonTest.java

结果

序列化的时候,会调用成员变量的get方法,私有成员变量不会被序列化

反序列化的时候,会调用成员变量的set方法,public修饰的成员全部自动赋值

反序列化方法

JSON.parseObject() 返回实际类型对象 √

User user1 = JSON.parseObject(serializedStr, User.class);

JSON.parse() 返回JsonObject对象

Object obj1 =JSON.parse(serializedStr);
type自省
{name= 'wuya', age=66, flag=true, sex='boy',address='null'}

子类中包含接口或抽象类的时候,类型丢失

{"@type":"com.wuya.test.User","age":33,"flag":false,"name":"wuya"}

漏洞原理

流程

  1. 序列化字符准备类名、dataSourceName属性和autoCommit属性
  2. JdbcRowSetImpl反序列化,调用
    JdbcRowSetImpl的setAutoCommit()
  3. setAutoCommit()调用connect()
  4. connect()调用lookup()连接到LDAP/RMI服务器
  5. 下载恶意代码到本地,执行,攻击发生
Fastjson在序列化的时候,会调用成员变量的get方法,私有成员变量不会被序列。
Fastjson在反序列化的时候,会调用成员变量的set方法,public修饰的成员全部自动赋值。
原理:由于它在反序列一个对象的时候会去自动调用这个对象的set方法,所以如果这个set方法中有一些危险的操作,那么就会导致漏洞的产生。

利用思路:上面说了在fastjson反序列化的时候会自动调用对象的set方法,所以我们就有了利用思路,如果我们可以找到一个类,并且这个类中有set方法,这个类的set方法中有一些敏感操作,并且每次运行任意java代码的时候又必须调用这个类,那我们就可以利用这个漏洞了。
不要怦我
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Fastjson序列漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Fastjson序列漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson序列漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
漏洞复现 - - - Fastjson序列漏洞
weixin_67503304的博客
08-25 6289
简单讲解Fastjson序列漏洞,简单讲述漏洞利用shell
Fastjson序列漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 2150
在复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是java和javac的版本问题,一定要保证二者都是1.8的版本!其他fastjson漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
FASTJSON序列漏洞合集分析小记(一)
lmh666888的博客
06-26 1711
FASTJSON序列漏洞合集分析小记
Fastjson序列漏洞详解
zhuyi666的博客
03-13 3001
fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打包。速度快使用广泛测试完备使用简单功能完备JSON数据格式{"name":zy, "age":22, "flag":true, "gender":male, "address":cs}("key":value)
Fastjson各版本序列EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson序列漏洞为例 1、此时/tmp目录 ![img]...
Java序列漏洞自动挖掘方法.pdf
08-21
Java序列漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。序列是将从磁盘或网络中读取的序列数据转换回内存中的对象的过程。在Java中,这一...
Java-Deserialization-Cheat-Sheet:关于Java序列漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列库中的序列漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
FastJsonPoc.zip
07-05
描述中提到,这个压缩包包含了利用Fastjson序列漏洞的详细步骤和注释,旨在帮助用户深入理解该漏洞的工作原理和如何进行测试。通过下载并导入这些代码,研究人员或安全专家可以复现漏洞,进行漏洞分析、防护策略...
Fastjson序列漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3041
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在序列的时候就不需要再指定类名。
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson序列漏洞
p36273的博客
09-18 1665
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列),当然它也可以将 JSON 字符串转换为 Java 对象(序列)。
fastjson序列漏洞区分版本号的方法总结
yggcwhat
07-16 2791
fastjson序列漏洞区分版本号的方法总结
Fastjson漏洞
qq_50854662的博客
10-09 5368
Fastjson漏洞
Fastjson 序列漏洞
m0_65150886的博客
10-10 619
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了序列白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Fastjson序列漏洞利用原理和POC
热门推荐
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列为JSON字符串,也可以从JSON字符串序列到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的序列远程代码执行漏洞,fastjso
FastJson序列漏洞(复现)
小赵同学的博客
07-29 3901
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
fastjson序列过滤字段属性_最新fastjson序列漏洞分析
weixin_39914863的博客
11-22 525
前言写的有点多,可能对师傅们来说比较啰嗦,不过这么写完感觉自己也就明白了pocnewPoc.javaimport com.alibaba.fastjson.JSON; public class newPoc { public static void main(String[] argv) { String payload = "{"name":{"@type":"java...
fastjson 序列漏洞
08-24
fastjson 序列漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 序列漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的序列操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson序列过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 序列漏洞来执行任意代码。 为了防止 fastjson 序列漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被序列。 4. 配置 fastjson 的 ParserConfig,限制序列操作只能处理预期的类型。 5. 避免在序列过程中执行不可信的代码,尽量将序列操作限制在有限的安全环境中。 总之,fastjson 序列漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值