c++运行不出结果_fastjson 不出网利用总结

最新推荐文章于 2024-03-03 08:16:32 发布
最新推荐文章于 2024-03-03 08:16:32 发布
阅读量2.1k 收藏 1
点赞数
文章标签: c++运行不出结果
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26705191/article/details/113050337
版权

点击蓝字

efea139d3a7eb2d561ebc037f73cfb84.gif

关注我们

声明

本文作者:flashine

本文字数:2382

阅读时长:20分钟

附件/链接:点击查看原文下载

声明:请勿用作违法用途,否则后果自负

本文属于WgpSec原创奖励计划,未经许可禁止转载

前言

          之前做项目在内网测到了一个fastjson反序列化漏洞,使用dnslog可以获取到ip,但是通过burp请求在vps搭建的rmi服务时发现rmi服务监听的端口有收到请求,但是http服务没有收到请求,所以就研究一下不出网的fastjson怎么利用。

0x00 

利用方式

目前公开已知的poc有两个:

  1. com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl

  2. org.apache.tomcat.dbcp.dbcp2.BasicDataSource

第一种利用方式需要一个特定的触发条件,解析JSON的时候需要使用Feature才能触发,参考如下代码:

JSONObject.parseObject(sb.toString(), new Feature[]{Feature.SupportNonPublicField});

第二种利用方式则需要应用部署在Tomcat应用环境中,因为Tomcat应用环境自带tomcat-dbcp.jar24ec0fc36d5111d003f3448554478788.png

对于SpringBoot这种自带Tomcat可以直接以单个jar文件部署的需要在maven中配置tomcat-dbcp。

而且对于不同的Tomcat版本使用的poc也不同:• Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用org.apache.tomcat.dbcp.dbcp.BasicDataSource

0x01 

利用复现

环境配置:

• fastjson 1.2.45 • 代码参考 vulhub • 服务器:Windows Server 2012 r2 • jdk版本:jdk8u112

1. com.sun.org.apache.

最低0.47元/天 解锁文章
张_伟_杰
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
C++】rapidjson库—all is object
qq_44886213的博客
04-16 1256
首先,json(JavaScript objection notation)是一种轻量级的数据交换格式,正是由于其轻量的这个特点,经常替代程序中的变量、对象,被用作程序之间数据传输的格式。 rapidjson?是不是听起来很耳熟,想到了java中使用的fastjson这个依赖,fastjson用来进行java对象和json数据格式之间的转换,一个rapid一个fast哈哈哈,知道你们都是轻量级的了。 rapidjson一个应用在C++程序中json的生成器和解析器。 相较于jsoncpp库,rapid
手写Android序列化框架FastJson
weixin_43901866的博客
01-29 296
技术详情 1. 反射 JAVA反射机制提供了运行时动态编程的可能。 当类处于运行状态时,我们可以做如下这些事: 1.获得这个类的所有属性,方法以及注解等信息 2.可以调用这个类的任意属性与方法 下面举一个例子来说明。 public class Book { private int page; private String name; public List&...
FastJson使用手册
weixin_44747858的博客
04-13 417
背景 Json是一种轻量级的数据交换格式,相对于对象的传输来说,json传输更轻量,前端相对于xml更容易处理,相对于xml来说更可视化直观。 FastJson是阿里开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为Json串,也可以由Json反序列化Java Bean以下就是FastJson的常用方法 FastJson的常用方法 Java Bean package com.didi.oe.saas.json; import java.util.Date; import
c++ 检查远程主机端口_Fastjson<=1.2.47版本远程代码执行漏洞复现
weixin_39859061的博客
11-24 223
一、漏洞介绍0x01 fastjson介绍 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。它可以解析JSON 格式的字符串,支持将 Java Bean序列化为JSON字符串,也可以从 JSON 字符串反序列化 Java Bean。0x02 漏洞介绍 Fastjson提供了autotype功能,...
fastjson-c3p0:fastjson不出回显利用
03-19
fastjson不出回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0....
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
《深入解析Fastjson 1.2.66版本》 Fastjson是阿里巴巴开源的一个高性能的JSON库,它在Java世界中被广泛使用,为开发者提供了快速、方便地处理JSON数据的能力。Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括...
gson2.8.1_fastjson1.2.2
09-14
gson2.8.1的jar包_fastjson1.2.2的jar包,方便大家直接在java代码中使用,gson2.8.1的jar包_fastjson1.2.2的jar包,方便大家直接在java代码中使用
Java_FASTJSON 20x发布更快,更安全,建议您升级.zip
最新发布
05-22
至于“fastjson_master.zip”,这可能是Fastjson源码的zip文件,供开发者研究和学习使用。通过查看源码,开发者可以深入了解Fastjson的实现原理,甚至可以根据自身需求进行定制化开发。 总而言之,Java_FASTJSON ...
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
c/c++ 解析JSON数据
05-05
用C语言解析和组装JSON数据(string或从文件读取): ,并且能取某个item值 。 我在vs2010上运行成功,附件为整个工程 。 (注:如果工程有编译上的error之类的,像fopen、fprintf: 可以修改: 选项Project | Configuration Properties | C/C++ | Preprocessor | Preprocessor Definitions 添加_CRT_SECURE_NO_DEPRECATE和_SCL_SECURE_NO_DEPRECATE )
C++解析json
sinat_31608641的博客
08-06 1536
解析json
fastjson-BCEL不出打法原理分析
weixin_49248030的博客
11-22 3273
与原生的 Java 反序列化的区别在于,FastJson 反序列化并未使用 readObject 方法,而是由 FastJson 自定一套反序列化的过程。通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法,将 JSON 字符串还原成对象,当这些自动调用的方法中存在可利用的潜在危险代码时,漏洞便产生了。
FastJSON实现详解
poijm
09-27 2373
本篇接下来的内容是基于FastJSON 1.1.40,着重讲述其序列化、反序列化实现,最后分析FastJSON为何如此“fast”的原因。 1. 序列化 所谓序列化,就是将java各种对象转化为json串。不多说,先上图。    序列化入口 平常我们经常用到的是JSON.toJSONString()这个静态方法来实现序列化。其实JSON是一个抽象类,该类实
记一次fastJson使用的踩坑经历
黄兴丽的专栏
05-11 7017
他奶奶的,抱歉,不好意思,都要骂娘了。也许是自己第一次用第三方json解析库没啥经验吧,之前都是自己用官方提供的json api 来进行json解析,这次用了下阿里的fastjson,据说比Gson,快6倍,结果就在一个小坑里面折腾了一上午,在写与实体类对应的实体类时注意,实体类的名字一定要与服务器json数据的键的名字相同,否则得到的数据为空,刚开始自己也还在思考,这么多字段,fastjso是怎
fastjson的常用使用总结
瘦子没有夏天
02-27 2258
最近感觉对java中的json处理使用总结很乱,特别来总结一下.现在项目中使用的阿里巴巴的fastjson.package cn.forp.pitaya.zdy.controller; import java.util.ArrayList; import java.util.Collections; import java.util.List; import com.alibaba.fastj...
fastjson不出利用方案
m0_62207482的博客
03-03 1263
Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用 org.apache.tomcat.dbcp.dbcp.BasicDataSource。# 目 前 公 开 已 知 的 poc 有 两 个 : com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。
FastJson--阿里巴巴公司开源的速度最快的Json和对象转换工具
djun100的专栏
04-21 288
 这是关于FastJson的一个使用Demo,在Java环境下验证的 class User{ private int id; private String name; public int getId() { return id; } public void setId(int id) { this.id = id; } public String getName(...
fastjson不出怎么利用
07-28
回答: Fastjson漏洞的利用通常需要触发目标类的setter方法或满足特定条件的getter方法。在Fastjson的反序列化过程中,JSON.parse()方法会识别并调用目标类的setter方法,但并不会调用getConnection()方法。所以,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值