Fastjson 1.2.24反序列化漏洞(Vulhub)使用方法

最新推荐文章于 2024-12-07 10:45:59 发布
最新推荐文章于 2024-12-07 10:45:59 发布
阅读量1k 收藏 11
点赞数 9
文章标签: elasticsearch 大数据 搜索引擎
R0ot
本文链接:https://blog.csdn.net/scxiaotan1/article/details/136654438
版权

一、漏洞概述

Fastjson是阿里巴巴的一个开源JSON处理库,它可以实现Java对象与JSON之间的转换。然而,在Fastjson 1.2.24版本中,存在一个反序列化漏洞,攻击者可以通过构造恶意的JSON数据来触发该漏洞,进而执行任意代码,获取服务器敏感信息,甚至控制整个服务器。Vulhub是一个漏洞集成环境,方便安全研究人员进行漏洞复现和研究。本文将介绍如何使用Vulhub来搭建Fastjson 1.2.24反序列化漏洞环境,并演示漏洞的使用方法。

二、环境搭建

1. 安装Vulhub

首先,确保你的系统已经安装了Docker和Git。然后,通过Git克隆Vulhub的仓库到本地:

git clone https://github.com/vulhub/vulhub.git

2. 进入vulhub目录:

cd vulhub

3. 启动Fastjson 1.2.24环境

在vulhub目录中,找到fastjson的漏洞环境目录,然后执行启动命令:

cd fastjson/1.2.24-rce
最低0.47元/天 解锁文章
R0ot
关注
vulhubfastjson篇-1.2.24-rce
weixin_56306210的博客
04-08 684
vulhubfastjson篇-1.2.24-rce
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1797
fastjson反序列化漏洞复现 CVE-2017-18349
VULHUB复现fastjson1.2.24反序列化漏洞
carrot11223的博客
04-28 955
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。当一个类只有一个接口的时候,将这个类的对象序列化的时候,就会将子类抹去(apple/iphone)只保留接口的类型(Fruit),最后导致反序列化时无法得到原始类型。
vulhub fastjson 1.2.24 反序列化漏洞 复现
m0_64777251的博客
04-08 1097
这里要注意一点就是jdk版本要统一为1.8mvn项目要1.8而且touch.java 在用javac编译时 javac也需要是1.8如果版本不统一会导致后期反弹shell弹不上还有就是端口要打开 否则流量过不去也是扯淡。
Vulhub 使用教程
gitblog_00700的博客
08-12 561
Vulhub 使用教程 vulhub项目地址:https://gitcode.com/gh_mirrors/vul/vulhub 项目介绍 Vulhub 是一个基于 Docker-Compose 的预构建易受攻击环境集合。它旨在帮助安全研究人员和开发人员快速搭建和测试各种漏洞环境,无需预先了解 Docker。Vulhub 包含了多种常见的漏洞环境,如 Web 应用漏洞、操作系统漏洞等,用户可以通...
kali vulhub使用方法
菜菜的博客
06-16 1760
vulhub是一个 docker 和 docker-compose 的漏洞环境集合,命令执行的漏洞环境。花了7749秒学习,3分钟教会你
Fastjson 1.2.24 反序列化漏洞研究
辛勤搬砖的门卫的专栏
01-05 1326
Fastjson 反序列化漏洞
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1366
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4685
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
JSON序列化与反序列化JAVA工具
07-30
本JSON是基于JAVA7编写,对比阿里的JSON三次测试结果如下: 10万次序列化,1万次反序列化,毫秒。 阿里序列化时间 1229 1133 1179 阿里反序列化时间 478 523 466 HZS序列化时间 1089 998 1010 HZS反序列化时间 606 623 635 测试代码如下: { org.hzs.json.JSONObject bjson; java.util.LinkedList<String> jd_Set = new java.util.LinkedList<>(); java.util.Random d1 = new java.util.Random(); java.util.UUID d2; int ji_i; long ji起始时间_i; long ji截至时间_i; java.util.Date date = new java.util.Date(); //生成1万个序列化後的文本 for (ji_i = 0; ji_i < 10000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(); bjson.put("a1", d1.nextDouble()); bjson.put("a2", d1.nextDouble()); bjson.put("a3", d1.nextDouble()); bjson.put("a4", d1.nextInt()); bjson.put("a5", d1.nextInt()); bjson.put("a6", d1.nextLong()); bjson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); bjson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b4", d2.toString()); bjson.put("c", new java.util.Date()); jd_Set.add(bjson.toString()); } com.alibaba.fastjson.JSONObject ajson, a1json = new com.alibaba.fastjson.JSONObject(); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 100000; ji_i++) { ajson = (com.alibaba.fastjson.JSONObject) a1json.clone(); ajson.put("a1", d1.nextDouble()); ajson.put("a2", d1.nextDouble()); ajson.put("a3", d1.nextDouble()); ajson.put("a4", d1.nextInt()); ajson.put("a5", d1.nextInt()); ajson.put("a6", d1.nextLong()); ajson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); ajson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b4", d2.toString()); ajson.put("c", new java.util.Date()); ajson.toString(); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("阿里变量序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 10000; ji_i++) { ajson = com.alibaba.fastjson.JSONObject.parseObject(jd_Set.get(ji_i)); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("阿里反序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 100000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(); bjson.put("a1", d1.nextDouble()); bjson.put("a2", d1.nextDouble()); bjson.put("a3", d1.nextDouble()); bjson.put("a4", d1.nextInt()); bjson.put("a5", d1.nextInt()); bjson.put("a6", d1.nextLong()); bjson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); bjson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b4", d2.toString()); bjson.put("c", new java.util.Date()); bjson.toString(); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("HZS变量序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 10000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(jd_Set.get(ji_i)); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("HZS反序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); }
vulhub的安装与使用
MCTSOG的博客
01-15 1493
在ubuntu上安装vulhub靶场环境 可以参考 官方安装教程 安装 docker sudo apt-get install docker.io 查看 docker版本 docker --version 安装docker-compose sudo apt-get install docker-compse 查看 docker-compose版本 docker-compose --version 下载vulhub git clone https://github.com/vulhub/vulhub.git
Vulhub漏洞靶场搭建和使用
ZXT02的博客
02-27 795
Vulhub漏洞靶场搭建和使用
vulhub下载及使用(小宇特详解)
小宇的web博客
04-14 9996
vulhub下载及使用(小宇特详解) 1.了解vulhub Vulhub是一个基于docker和docker-compose的漏洞环境集合,进入对应目录并执行一条语句即可启动一个全新的漏洞环境,让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 2.下载vulhub git clone https://github.com/vulhub/vulhub.git 3.打开vulhub,先cd到vulhub,再查看上级目录。 4,启动环境,随便进入一个目录,cd spring/CVE-2018-1
搭建漏洞环境Vulhub使用
https://www.cnblogs.com/zpchcbd/
05-07 2454
介绍 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 建议安装在云服务器上,腾讯云、阿里云、或者国外的服务器上,这些环境不需要vps即可快速安装好环境,本地搭建需要vps支持,或者下载整个源码。由于第一次使用漏洞环境是在线下载并编译,所以最好使用云服务器或者vps...
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 3378
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
Fastjson反序列化漏洞深度解析与利用
最新发布
Yu4xr的博客
12-07 1647
本文全面解析了Fastjson反序列化漏洞的原理、利用方式及修复方法,涵盖不同版本的漏洞绕过技巧和利用场景。
Vulhub复现fastjson漏洞
人若有志,就不会在半坡停止。
11-08 1125
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为Java对象,Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_67621628的博客
03-22 2383
2.编译并启动环境 docker-compose up -d 3.查看环境运行状态 docker ps | grep rce 访问 8090 端口 []( )漏洞利用 首先 vulhub 给出的复现提示如下 因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制, 我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 首先编译并上传命令执行代码,如http://evil
fastjson反序列化漏洞复现vulhub
06-01
好的,这是一个比较常见的漏洞,以下是vulhub上的fastjson反序列化漏洞的复现步骤: 1. 下载并启动vulhub: ``` git clone https://github.com/vulhub/vulhub.git cd vulhub/fastjson/1.2.24_rce/ docker-compose ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

R0ot

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值