Fastjson 反序列化漏洞利用总结

最新推荐文章于 2024-07-20 22:48:08 发布
最新推荐文章于 2024-07-20 22:48:08 发布
阅读量1.5k 收藏 3
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/roukmanx/article/details/103585889
版权
本文详述了Fastjson的反序列化漏洞,包括2017年3月15日的安全更新,利用JdbcRowSetImpl类进行的命令执行,以及2019年7月的RCE问题。通过Docker搭建环境,演示了利用过程,涉及JNDI注入和Marshalsec项目。此外,提到了不同版本的POST请求包差异和探测技巧。
摘要由CSDN通过智能技术生成

本篇文章对Fastjson漏洞利用的过程做个简单的记录。

背景:

Fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。

其项目地址为https://github.com/alibaba/fastjson,其提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。示例代码:

//序列化
User user = new User("guest",2);
String jsonString = JSON.toJSONString(user)

//反序列化
String jsonString = "{\\"name\\":\\"guest\\",\\"age\\":12}"
User user = (User)JSON.parse(jsonString)

其最近几年爆出的漏洞影响都比较大,下面会进行简单的说明。

20170315第一次爆出的漏洞

2017年3月15日,Alibaba官方发布了一条安全更新:https://github.com/alibaba/fastjson/wiki/security_update_20170315。宣布fastjson<=1.2.24存在远程代码执行高危安全漏洞。

利用原理:

因为fastjson在处理以@type形式传入的类的时候,会默认调用该类的共有setgetis函数,因此我们在寻找利用类的时候思路如下:
1、类的成员变量我们可以控制;
2、想办法在调用类的某个setgetis函数的时候造成命令执行。

于是便找到了JdbcRowSetImpl类,该类在setAutoCommit函数中会对成员变量dataSourceName进行lookup,标准的jndi注入利用。(jndi注入是什么可以看下https://paper.seebug.org/417/)

其利用栈:

Exec:620,Runtime //命令执行
Lookup:417,InitalContext /jndi lookup函数通过rmi或者ldap获取恶意类
setAutoCommit:4067,JdbcRowSetImpl 通过setAutoCommit从而在后面触发了lookup函数
setValue:96,FieldDeserializer //反射调用传入类的set函数
deserialze:600, JavaBeanDeserializer 通过循环调用传入类的共有set,get,is函数
parseObject:368,DefaultJSONParser 解析传入的json字符串

原理大概就那么多,接下来搭建环境复现一下,采用doc

最低0.47元/天 解锁文章
初心者|
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Fastjson反序列化漏洞利用分析合集
不忘初心,护天下安全!
07-18 245
流程的话就是通过靶场主机,发送payload,访问远程主机的9999端口也就是上边的ip2,之后因为9999端口开启的rmi服务,所以会直接访问7777端口的shell.class,之后执行class文件,进行反弹shell到公网ip(上边的ip1)在前边的POJO中特意提到过,这个toJSONString会默认执行调用类中的getter(),所以当我们payload传入BasicDataSource类后,就会调用他对应的getter()——getConnection()...
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6364
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Alibaba fastjson 序列化与反序列化
周洲 (Julie)
12-28 8341
fastjson在官网的定义号称最小最快 多态的json序列化工具。fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。JSON这个类是fastjson API的入口,主要的功能都通过这个类提供。下面是这个类的重要几个方法介绍:序列化APIpackage com.aliba
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
SpringBoot中fastjson扩展: 自定义序列化和反序列化方法实战
最新发布
码到三十五
07-20 1万+
fastjson允许用户自定义序列化器,用于控制特定类型的序列化过程。用户需要实现接口,并重写write方法。@Override// 自定义序列化逻辑在序列化过程中,可以通过枚举值来指定使用自定义序列化器。fastjson允许用户自定义日期格式。可以通过枚举值和来指定日期格式。此外,用户还可以通过DateFormat属性来指定全局的日期格式。类似地,fastjson也支持自定义反序列化器。用户需要实现接口,并重写deserialze方法。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5493
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 2599
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
Fastjson反序列化漏洞原理及利用
qq_38229543的博客
10-28 257
原文链接:https://www.cnblogs.com/sijidou/p/13121332.html
fastjson反序列化漏洞
scu_hacker博客
02-10 3361
目录 前言 一、漏洞原理 二、漏洞复现 2.1 fastjson<=1.2.24 2.2 1.2.24<=fastjson<=1.2.47 2.2.1在攻击机上编译类 2.2.2 开启rmi和ldap服务 2.2.3 写入poc 参考资料 前言 fastjson是阿里开发的json解析库,可以将java对象解析为json,也可以将json反序列化为java对象,主要用json.parse()方法进行反序列化。 一、漏洞原理 ...
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决(1)
m0_60575487的博客
04-07 672
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
fastjson反序列化漏洞原理及利用
杨航的专栏
07-01 3467
重要漏洞利用poc及版本 我是从github上的参考中直接copy的exp,这个类就是要注入的类 import java.lang.Runtime; import java.lang.Process; public class Exploit { public Exploit() { try{ // 要执行的命令 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(commands); pc.waitFor()
java代码审计之fastjson反序列化漏洞
CheatMyself的博客
05-30 988
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化和反序列化
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。然而,Fastjson存在反序列化漏洞,黑客可以利用该漏洞实现远程代码执行,因此该漏洞被广泛利用。 检测Fastjson反序列化漏洞的方法: 1. 扫描源代码,搜索是否存在Fastjson相关的反序列化代码,如果存在,则需要仔细检查反序列化的过程是否安全。 2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson反序列化漏洞的检测,例如:AWVS、Nessus、Burp Suite等。 利用Fastjson反序列化漏洞的方法: 1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现文件读取操作。 3. 利用Fastjson反序列化漏洞实现反弹Shell:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现反弹Shell操作。 防范Fastjson反序列化漏洞的方法: 1. 更新Fastjson版本:Fastjson官方在1.2.46版本中修复了反序列化漏洞,建议使用该版本或更高版本。 2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化功能,建议禁止使用该功能,可以使用其他JSON处理器。 3. 输入验证:对所有输入进行校验和过滤,确保输入数据符合预期,避免恶意数据进入系统。 4. 序列化过滤:对敏感数据进行序列化过滤,确保敏感数据不会被序列化。 5. 安全加固:对系统进行安全加固,如限制系统权限、加强访问控制等,避免黑客利用Fastjson反序列化漏洞获取系统权限。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值