rmi反序列化导致rce漏洞修复_Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)

最新推荐文章于 2024-02-20 19:54:22 发布
最新推荐文章于 2024-02-20 19:54:22 发布
阅读量118 收藏
点赞数
文章标签: rmi反序列化导致rce漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29168393/article/details/112820757
版权
本文详细介绍了Fastjson 1.2.47及其以下版本的反序列化远程代码执行漏洞(CNVD-2019-22238),包括漏洞描述、影响版本、环境搭建、检测方法、漏洞复现步骤,以及如何利用该漏洞反弹shell。
摘要由CSDN通过智能技术生成

Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)

一、漏洞描述

Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本 中,利用其缓存机制可实现对未开启autotype功能的绕过。

二、影响版本

Fastjson1.2.47以及之前的所有版本

三、环境搭建

vulhub靶场,进入fastjson漏洞环境目录下,执行

cd 1.2.47‐rce/ docker‐compose up ‐d

四、漏洞检测

手动检测:

{"a":

最低0.47元/天 解锁文章
二货哈士奇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jmeter RMI 反序列化命令执行漏洞复现
Tauil的博客
08-02 814
针对目标主机地址及端口的RMI Registry建立远程连接(RMI—使用Java远程消息交换协议JRMP(Java Remote Messaging Protocol)进行通信),连接成功后提交执行用户选择的 payload。可以看到,环境开启后将启动RMI服务并监听1099端口,我们只需要使用ysoserial.exploit.RMIRegistryExploit即可执行任意命令。靶场:vulhub—jmeter/CVE-2018-1297/根据输入命令转化为对应序列化内容,然后将消息发送。...
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了反序列化...
fastjson jar包_Fastjson<=1.2.47反序列化RCE漏洞CNVD201922238
weixin_39677104的博客
11-28 167
Fastjson <=1.2.47反序列化RCE漏洞(CNVD201922238)一、漏洞描述Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@typ...
java反序列化漏洞利用工具_Apache Dubbo Provider默认反序列化远程代码执行漏洞
weixin_39597636的博客
11-30 349
背景近日,Apache Dubbo披露了Provider默认反序列化远程代码执行漏洞(CVE-2020-1948),攻击者可构造恶意请求,从而执行任意代码。具体信息如上图所示。在官方邮件中,漏洞报告者还提供了官方的PoC脚本,感兴趣的读者可以自行抓包和学习。本文旨在复现漏洞,找出漏洞利用条件,提出漏洞修复方案。dubbo基础知识简 介是一款高性能、轻量级的开源Jav...
rmi反序列化导致rce漏洞修复_Spring框架的反序列化远程代码执行漏洞分析
weixin_33978722的博客
12-23 247
Spring框架的反序列化远程代码执行漏洞分析星期三, 一月 27, 20160漏洞介绍国外的研究人员zero thoughts发现了一个Spring框架的反序列化远程代码执行漏洞。spring-tx.jar包中的org.springframework.transaction.jta.JtaTransactionManager类存在JNDI反序列化问题。只要创建一个JtaTransactionMa...
fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 6334
fastjson 1.2.24 反序列化导致任意命令执行漏洞,可获得服务器root权限
Java序列化和反序列化_动力节点Java学院整理
08-30
Java序列化和反序列化Java编程中的一种重要机制,它允许将对象的状态转换为字节流,以便存储或在网络中传输。这个过程对于持久化数据、跨进程通信以及在网络间传递复杂对象尤为关键。 首先,让我们理解序列化和反...
Java对象的序列化与反序列化Java开发Java经验技巧
11-22
- **反序列化攻击**:恶意用户可能会构造特殊的数据流,导致反序列化时执行任意代码,因此在反序列化时要格外小心,避免使用不可信的数据源。 - **防御措施**:使用安全的反序列化库,或者在反序列化前对数据进行...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
漏洞主要影响JBoss AS 7.x和EAP 6.x版本,这些版本中包含了`org.jboss.remoting3.protocol.ser`包,该包处理反序列化时存在缺陷。攻击者可以通过发送特制的序列化对象到服务器的RMI注册表,触发恶意代码执行。RMI...
java反序列化利用程序UI版Beta1.1.rar
07-20
3. **RMI(远程方法调用)与反序列化**:JavaRMI机制在通信过程中使用了反序列化,攻击者可以通过操纵RMI请求来触发反序列化漏洞。 4. **反射与构造恶意对象**:攻击者可以利用Java的反射API创建和控制反序列化...
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
rmi远程反序列化rce漏洞_fastjson 反序列化远程代码执行漏洞复现
weixin_39599454的博客
12-23 115
漏洞概述:fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部...
rmi远程反序列化rce漏洞_Weblogic wls9-async反序列化远程代码执行漏洞(CVE-2019-2725)漏洞分析...
weixin_30390951的博客
02-22 282
阅读:1,361这个漏洞最先由某厂商报给某银行,某银行再将该信息报给CNVD,后CNVD通告:国家信息安全漏洞共享平台(CNVD)收录了由该银行报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814),详情见链接:cnvd对于该漏洞,Oracle官方也破例了一回,提前发了补丁,但是这个补丁只是针对10.3.6系列的,对于12版本系列...
Fastjson反序列化漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
最新发布
m0_71263989的博客
02-20 1006
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
rmi 反序列化漏洞_Dubbo反序列化漏洞复现分析(二)
weixin_30480281的博客
12-30 145
成功弹出计算机5.漏洞分析我们从idea里的报错栈可以看到入口应该是javax.servlet.http.HttpServlet.service我们在this.service处下个断点我们用postman发个包,然后跟进去,发现它会用handler函数处理request,response随后发现其进入org.apache.dubbo.rpc.protocol.heep.HttpProto...
rmi反序列化导致rce漏洞修复_JAVA反序列化漏洞解决办法
weixin_39527911的博客
12-23 482
一、漏洞描述:近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过...
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 823
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
java反序列化漏洞对策
邢立军的技术专栏
06-01 791
1)java反序列化漏洞请百度。 2)对策: ObjectInputStream.readObject()的地方改为 附件中的 SerialKiller.readObject()。 附件有2个文件: SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化 SerialKiller.java为ObjectInputStream的子类,覆盖了resol...
rmi远程反序列化rce漏洞_Spring框架的反序列化远程代码执行漏洞分析(转)
06-06
总的来说,RMI远程反序列化RCE漏洞和Spring框架的反序列化远程代码执行漏洞都是Java序列化机制的设计缺陷所导致的安全漏洞。攻击者可以通过构造恶意的序列化数据来绕过Java的安全机制,从而执行任意代码。因此,在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值