fastjson 1.2.47 RCE漏洞保姆级复现

最新推荐文章于 2024-02-24 10:30:00 发布
最新推荐文章于 2024-02-24 10:30:00 发布
阅读量1.2k 收藏 2
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2206/article/details/128841278
版权

1.漏洞概述

Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过

2.影响版本

  • Fastjson <=1.2.47

3.环境准备

3.1 主机准备

  • linux主机:1台(靶机)

  • Kail:1台(监听)

  • Windows:1台(复现实施,burp抓包)

3.2相关安装包准备

  • fastjson1.2.47.tar.gz,下载地址

https://pan.baidu.com/s/18gr0bshmQOHJ26vB4mZCjQ
提取码:tzva

  • JDK1.8,下载地址

https://repo.huaweicloud.com/java/jdk/8u202-b08/jdk-8u202-linux-x64.tar.gz

  • maven3.6.3,下载地址

https://archive.apache.org/dist/maven/maven-3/3.6.3/binaries/

  • marshalsec下载地址

java反序列化利用工具,该工具可以快速开启RMI以及LDAP服务,但需要使用maven编译(下文会讲):https://github.com/mbechler/marshalsec

4.环境搭建

4.1 Linux主机(本文采用centos7.7)安装docker

  • 安装所需软件包

yum install -y yum-utils device-mapper-persistent-data lvm2

  • 设置yum源
    yum-config-manager --add-repo http://download.docker.com/linux/centos/docker- ce.repo

  • 安装docker

最低0.47元/天 解锁文章
AIGC_Allen
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆的详细教程)
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆教程,还望大家多多支持。
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 723
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
FastJson反序列化漏洞Fastjson1.2.47
最新发布
jxy158212的博客
02-24 672
Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)它采用一种“假定有序快速匹配”的算法,把 JSON Parse 的性能提升到极致,是目前 Java 语言中最快的 JSON 库,并且它不依赖于其它任何库。Fastjson已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
fastjson1.2.47RCE漏洞复现
Mrs_H的博客
10-04 1893
Fastjson1.2.47RCE漏洞复现 前言 我在上一篇文章中提到了我在长安杯打比赛,有一道我怎么也看不懂的题目,也就是当时“soeasy”。当我我查阅资料以及看了其他师傅们的wp之后,我发现这是Fastjson的一个RCE漏洞。因为以前接触Java的时间比较短,还不够熟悉,所以就去搞了个环境复现这个FastjsonRCE漏洞。也就有了这篇文章。 环境准备 为了方便起见,我这次直接选择了vulhub的docker环境,有两种方式可以去获得项目源码 一种是直接在github上down下来 https:/
fastjson 1.2.47漏洞复现实战(vulfocus在线靶场CNVD-2017-02833)——关注紫灵小姐姐不踩坑】
weixin_40416851的博客
08-28 942
fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。...............
vulhub-FastJson 1.2.24-rce漏洞复现
m0_58265086的博客
09-09 216
原理解析:为了成功利用 Fastjson 1.2.47 RCE 反序列化漏洞,需要提前在 Kali 虚拟机中搭建 Web 服务器和 RMI 服务,随后当我们向 fastjson 服务器 POST 提交 POC 后,fastjson 服务器会访问远程 RMI 服务,RMI 再通过将请求重定向到 Web 服务器后下载存放在 Web服务器中的恶意 Java代码(已编译的反序列化类),从而成功实现远程命令执行。反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。点击提交,会出现一个500的报错。
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
1.2.47版本及其以下,Fastjson存在一个严重的远程代码执行(Remote Code Execution,RCE漏洞,使得恶意用户有可能通过精心构造的数据输入,执行任意的系统命令,对系统的安全性构成严重威胁。 ## 漏洞背景与...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
《深入解析Fastjson-RCE漏洞及其利用》 Fastjson,作为一个高效、强大的Java语言中用于处理JSON数据的库,被广泛应用于各种系统和项目中。然而,任何软件都可能存在潜在的安全隐患,Fastjson也不例外。"fastjson-...
fastjson-1.2.47及源码、简单示例
08-30
fastjson-1.2.47及源码、简单示例
fastjson-1.2.47-API文档-中文版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:com.alibaba,artifactId:fastjson,version:1.2.47 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
fastjson1.2.47
11-17
fastjson1.2.47 需要者速
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3365
Fastjson 1.2.47反序列化漏洞复现
Fastjson命令执行漏洞复现1.2.471.2.24)
xiaobai_20190815的博客
04-12 1154
一、漏洞描述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链 二、影响版本 fastjson <=1.2.48(autoType为关闭状态也可使用) 三、漏洞利用 1、docker 拉取镜像,靶机一键起环境 docker-compose up -d 2、本机编辑恶意java文件,用于反弹shell,监听端口为1234,并编译javac Exploit.j
渗透测试-Fastjson 1.2.47 RCE漏洞复现
道阻且长,行则将至。
07-11 7062
漏洞概述 Fastjson是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson 近几年被爆出的反序列化 RCE 漏洞影响无数厂商,2017年官方主动爆出了 fastjson 1.2.24 的反序列化漏洞以及升公告,fastjson1.2.24 版本后增加了反序列化白名单。 而在2019年6月,fastjson 又被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意
Fastjson1.2.47 RCE
limb0的博客
06-14 959
Fastjson1.2.47 RCE 一、漏洞介绍 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列
Fastjson命令执行漏洞复现2(fastjson <=1.2.47
szgyunyun的博客
06-29 927
一、搭建环境: https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce 提供的漏洞环境死活没复现出来只好自己搭建个环境了。 1、搭建tomcat环境 首先去tomcat官网下载tomcat https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.48/bin/apache-tomcat-9.0.48.tar.gz 2、将此压缩包复制到我的linux服务器上解压
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值