反序列化利用工具_Fastjson反序列化漏洞的检测和利用

最新推荐文章于 2023-10-16 09:16:27 发布
最新推荐文章于 2023-10-16 09:16:27 发布
阅读量4.7k 收藏 3
点赞数
文章标签: 反序列化利用工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30758169/article/details/113330723
版权

Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。

文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。

0x01 反序列化原理

Fastjson反序列化,即在代码中调用JSON.parse(jsonstr)、JSON.parseObject(jsonstr)等方法的时候,实现将json格式的字符转换为一个Java对象的过程。在进行反序列化的时候会根据json中的字段自动调用对象的set和get方法,当方法中存在可利用点的时候就会造成安全漏洞。具体分析原理分析网上已经很多了,这里不做太多阐述。

0x02 Poc分析

在大多数应用场景中,Fastjson仅仅作为第三方依赖嵌入到项目中,这种形式导致了Poc无法控制Web容器的Response对象(当然针对特定容器可以,使用TemplatesImpl加载字节码,这个poc比较老了,基本都补了)实现命令执行结果回显输出。目前网上公开的Poc基本都是利用JNDI注入,使用JNDI注入实现代码执行的Poc都有一个弱点,就是需要目标服务器能够出互联网。

0x03 漏洞检测

对于需要出网才能利用的漏

最低0.47元/天 解锁文章
提提虎的新衣
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新的fastjson工具包2.0.11+JSON序列序列工具
08-18
支持泛型,支持流处理超大文本,支持枚举,支持序列序列扩展。侵删 因为在GitHub网站上加载的速度太慢了,先放到这里。
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
最新发布
gitblog_00045的博客
05-16 569
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan 项目地址:https://gitcode.com/a1phaboy/FastjsonScan 在今天这个高度数字的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工具——Fa...
fastjson漏洞 - Fastjson1.2.47序列漏洞
HAKUNAMATATATTA的博客
01-06 2418
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列为 JSON 字符串,也可以从 JSON 字符串序列到 Java Bean。
一个简单的Fastjson序列检测burp插件-FastjsonScan
siu~
10-16 721
一个简单的Fastjson序列检测burp插件
Fastjson序列漏洞复现(实战案例)
qq_50854662的博客
04-18 1744
Fastjson序列漏洞复现(实战案例)
springmvc fastjson 序列时间格式方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列序列Java对象。当我们在处理日期时间字段时,可能会遇到序列时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
Fastjson序列漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson序列漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson各版本序列EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson序列漏洞为例 1、此时/tmp目录 ![img]...
fastjson1.2.69序列远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 序列远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列序列操作。然而,Fastjson 1.2.69 版本存在一个严重的序...
fastjson1.2.8 序列远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御序列漏洞,导致当黑客不断发掘新的序列Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
老生常谈的fastjson安全问题,从实战深入序列漏洞原理
2201_75353421的博客
06-20 2399
序列是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理倒是我这种非安全研究er的最好学习方式。
Javaweb安全——Fastjson序列利用
weixin_43610673的博客
10-13 4394
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列时开启 SerializerFeature.WriteClassName 选项,序列出来的结果会在开头加一个 @type 字段,值为进行序列的类名。序列时带有@type 字段的序列数据会得到对应类型的实例对象。漏洞的还是Fastjson的功能,此功能可以序列的时候人为指定类,然后在利用指定的序列器过程中,如果满足条件则会去射调用方法,以串联
FastJson快速上手【Json解析工具
路漫漫其修远兮,吾将上下而求索
10-22 2848
针对JSON序列序列,为了方便快捷,我们一般使用json序列工具进行操作常见的json序列工具有Gson和FastJsonFastJson是阿里巴巴开源的项目,号称是速度最快的json解析工具
Fastjson序列审计及验证
顶峰
01-05 401
系统安全受内部和外部双重影响,在防止企业系统受外部影响上,信息安全目前相关理论研究和产品建设已经较为完善。当前系统故障更多原因是由于企业内部问题导致,安全工程成为降低系统故障体系解决方案。随着企业上云和用云深入,阿里云混合云安全工程为企业上好云、安全用云提供了全套解决方案, 内容包括:安全工程标准培训、企业安全工程标准评测认证(联合信通院)、安全工程产品体系(运维风控等)、业务稳定性咨询等产品与服务, 提升云上业务的安全可控。
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson序列漏洞
p36273的博客
09-18 1673
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列),当然它也可以将 JSON 字符串转换为 Java 对象(序列)。
复现fastjson漏洞(fastjson≤1.2.80)
TVT111的博客
07-21 2694
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson漏洞
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2179
Fastjson组件序列分析,从基础到RCE的过程笔记
Fastjson序列
热门推荐
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列为 JSON 字符串,也可以从 JSON 字符串序列到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
fastjson序列漏洞_Fastjson序列漏洞检测利用
05-21
2. 使用工具进行扫描:目前市面上有很多漏洞扫描工具已经支持Fastjson序列漏洞检测,例如:AWVS、Nessus、Burp Suite等。 利用Fastjson序列漏洞的方法: 1. 利用Fastjson序列漏洞执行远程命令:黑客...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值