fastjson 序列化 不包括转义字符_高危漏洞|Oracle Coherence&WebLogic反序列化远程代码执行漏洞(CVE20202555)...

最新推荐文章于 2024-06-19 12:51:52 发布
最新推荐文章于 2024-06-19 12:51:52 发布
阅读量136 收藏
点赞数
文章标签: fastjson 序列化 不包括转义字符 resttemplate 序列化

045e5054-4d13-eb11-8da9-e4434bdf6706.jpeg

漏洞描述

近日,ZDI公布了一个Coherence反序列化漏洞,CVE编号为CVE-2020-2555,此漏洞是由于攻击者可以传入可控参数并调用java方法,在Java中,类中的readObject()或readExternal()方法可以被自动调用。

Oracle Coherence为Oracle融合中间件中的产品,在WebLogic 12c及以上版本中默认集成到WebLogic安装包中,T3是用于在WebLogic服务器和其他类型的Java程序之间传输信息的协议。

漏洞分析

通过补丁对比寻找漏洞利用点,攻击者可以使用受控参数来调用java方法。在Java中,会自动调用类的readObject()或者 readExternal()方法。这两种方法以及从它们内部可获得的任何其他方法都可以视为反序列化gadget的有效来源。

CVE-2020-2555的补丁中更改了LimitFilter类中的toString()方法:

065e5054-4d13-eb11-8da9-e4434bdf6706.png

extract()已从toString()中删除了对该方法的所有调用,toString()可以通过readObject()各种标准JRE类的方法来实现,例如

BadAttributeValueExpException:

095e5054-4d13-eb11-8da9-e4434bdf6706.png

如上面的代码所示,BadAttributeValueExpException该类的序列化实例可用于调用toString()任意类的方法。可以使用此技术访问受此补丁影响的LimitFilter类的toString()方法。

然后寻找Sink点,Sink点指的是具有各种副作用的Java方法调用,这类副作用包括:

  • 通过调用FileOutputStream.write()任意创建文件。

  • 通过调用Runtime.exec()任意执行命令。

  • 通过调用Method.invoke()的任意方法调用。

对于此漏洞,我们的重点就是调用,Method.invoke()该调用具有通过反射调用任意Java方法的副作用。 有了这些信息,我们可以查找所有实例,在这些实例中,extract()方法调用(我们在补丁分析中将其标识为入口点)导致对Method.invoke()的调用。 0b5e5054-4d13-eb11-8da9-e4434bdf6706.png

查看ReflectionExtractor类后,我们可以确认前面的猜测:

0c5e5054-4d13-eb11-8da9-e4434bdf6706.jpeg

ReflectionExtractor 通过允许调用任意方法来提供危险原语,其中方法和参数都可以由攻击者控制。

通常,需要多个方法调用才能实现远程代码执行。例如,在流行的Apache Commons Collections gadget中,是通过使用链接任意方法调用来实现的ChainedTransformer。以类似的方式,Coherence库中有一个类允许我们链接extract()调用,该类为ChainedExtractor:

0d5e5054-4d13-eb11-8da9-e4434bdf6706.png

将所有这些放在一起使用以下利用链来实现远程代码执行:

0e5e5054-4d13-eb11-8da9-e4434bdf6706.jpeg

因此,使用Coherence可以在恶意序列化对象库的任何项目都可以实现远程代码执行,针对WebLogic T3协议的漏洞验证:

105e5054-4d13-eb11-8da9-e4434bdf6706.png

漏洞危害

高危

影响版本

  • Oracle Coherence 3.7.1.17

  • Oracle Coherence 12.1.3.0.0

  • Oracle Coherence 12.2.1.3.0

  • Oracle Coherence 12.2.1.4.0

安全建议

参考Oracle官网发布的补丁进行升级:

https://www.oracle.com/security-alerts/cpujan2020.html 

如果不依赖T3协议进行JVM通信,禁用T3协议。

参考信息

https://www.thezdi.com/blog/2020/3/5/cve-2020-2555-rce-through-a-deserialization-bug-in-oracles-weblogic-server 

山石网科NEURON安全实验室成立于2015年,为多省公安厅提供技术支撑工作,为上合峰会、财富论坛、金砖五国等多次重大活动提供网络安保支撑工作。在多次攻防赛事中连获佳绩,网安中国行第一名,连续两届红帽杯冠军、网鼎杯线上第一名,在补天杯、极棒杯、全国多地的护网演习等也都获得优秀的成绩,每年获得大量的CNVD、CNNVD、CVE证书或编号。

如需帮助请咨询 hscert@hillstonenet.com

115e5054-4d13-eb11-8da9-e4434bdf6706.jpeg

weixin_39759989
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
oracle application server 0day,Oracle Application Server XML Developer Kit远程安全漏洞
weixin_42363662的博客
04-05 255
发布日期:2011-07-19更新日期:2011-07-19受影响系统:Oracle Application Server 10.1.3.5.0Oracle Oracle10g Enterprise EditionOracle Oracle10g Personal EditionOracle Oracle10g Standard Edition描述:------------------------...
oracle10g漏洞,Oracle Application Server 10g跨站脚本漏洞
weixin_33740988的博客
04-09 263
Oracle Application Server 10g跨站脚本漏洞信息来源:Oleg P. 发表日期:2013-05-01 14:59:00Oracle Application Server是一个全面的集成应用服务器。Oracle Application Server Portal v10.1.3没有正确过滤login.jsp脚本内的"site2pstoretoken"参数及其他脚本...
oracle application server 0day,Oracle WebLogic 远程命令执行 0day(CVE-2019-2725补丁绕过)漏洞预警...
weixin_42370743的博客
04-05 193
WebLogic组件介绍将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogic是商业市场上主要的Java(J2EE)应用服务器软件(application server)之一,是世界上第一个成功商业化的J2EE应用服务器,具有可扩展性,快速开发,灵活,可靠性等优势。漏洞描述深信服安全团队经过分析Oracle WebLogic ...
oracle application server weblogic 区别_烽火狼烟丨Oracle多个最新高危漏洞专题分析
weixin_39637646的博客
12-22 228
01漏洞概述北京时间 2020 年 07 月 14 日,WebRAY安全服务部监测到 Oracle 官方于美国时间 2020 年 7 月 14日将发布大规模的季度补丁更新,以修补多达 433 个的新安全漏洞,包含 Oracle 通信应用软件,Oracle 建筑和工程软件,Oracle 电子商务套件,Oracle 企业管理软件,Oracle 金融服务应用软件,Oracle Fusion 中...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
预警事项:Fastjson反序列化远程代码执行漏洞风险预警
05-24
Fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web...
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化反序列化能力,支持多种Java类型,包括JavaBean、集合、日期以及枚举等,并且无任何外部依赖,使得其在实际项目中得到广泛应用。...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
fastjson 序列化包括转义字符_fastjson漏洞复现
weixin_39806288的博客
11-19 395
公司的web项目全是java写的,作为java菜鸟,迫不得已来看fastjson漏洞了,但分析是不可能会分析的,只能看看分析文章,复现一下勉强维持生活这样子。1. 背景fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。其项目地址为https://github.com/alibaba/fastjson,其...
fastjson 序列化包括转义字符_CTFweb类型(二十二)反序列化的基本概念、魔术方法及相关例题讲解...
weixin_39608116的博客
11-04 351
点击上方蓝色字体,关注我们反序列化的特征有点类似于命令执行,首先要理解反序列化的概念以及它的场景,像CTF中看到某些特征的时候,可以猜测这道题目是否做反序列化。我们先来理解一下这个概念,反序列化序列化它其实是对应的就是一个数据的持久化和非持久化的一个过程。就是说一开始我们就是一个变量,去申请一个变量,这个变量其实你要把它保存下来的时候怎么保存?比如说我在这边一个php > $a的...
【Java】FastJson如何返回不带转义字符的json字符串
李维山的博客
12-28 7010
一开始使用 JSONObject.toJSONString() 把json对象转为json字符串,但是在进行kafka进行消费的时候,发现接收到的json总是带转义字符,处理起来比较麻烦 于是使用如下方法,先转为Object对象,再转为字符串: JSONObject.toJSON(jsonObject).toString(); ...
Fastjson 反序列化漏洞(CVE-2017-18349)
最新发布
qq_68163788的博客
06-19 922
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
[渗透测试笔记] 48.Fastjson1.2.24反序列化漏洞复现(CVE-2017-18349)
H4ppyD0g的博客
03-16 2364
文章目录漏洞描述影响范围漏洞复现 漏洞描述 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCod
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 786
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
【vulhub漏洞复现】Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
一剑开天门!的博客
02-16 1426
【vulhub漏洞复现】Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
oracle application server weblogic 区别_Weblogic版本漏洞复现之路
weixin_39694838的博客
12-22 268
我以为,我会平淡如昔,忙碌度日。--丰子恺漏洞WebLogic XMLDecoder反序列化漏洞漏洞编号:CVE-2017-10271漏洞描述:WebLogic WLS组件中存在CVE-2017-10271远程代码执行漏洞,可以构造请求对运行WebLogic中间件的主机进行攻击。受影响WebLogic版本:10.3.6.0,12.1.3.0,12.2.1...
Oracle Fusion 中间件漏洞已遭在野利用
smellycat000的专栏
11-30 880
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施安全局 (CISA) 提醒称,在2022年年初修复的一个Oracle Fusion 中间件漏洞 (CVE-2021-35587)已遭利用。CVE-2021-35587影响提供Oracle Fusion 中间件单点登录解决方案的 Oracle Access Manager。发现该漏洞的研究人员指出,受影响产品的用户中很多都是大...
烽火狼烟丨Oracle WebLogic多个组件漏洞风险提示
C20220511的博客
04-27 261
近日,WebRAY安全服务产品线监测到Oracle官方发布了安全更新,本次共发布了包含WebLogic在内的433个产品的安全补丁程序,其中CVE-2023-21912、CVE-2023-21996、CVE-2023-21964、CVE-2023-21931、CVE-2023-21979等较为严重。CVE-2023-21996:未经身份验证的攻击者可以通过HTTP协议进行网络访问从而实施拒绝服务攻击,成功利用该漏洞可能导致Oracle WebLogic Server服务挂起或频繁崩溃。
fastjson 序列化包括转义字符_FastJson实现JSON字符串、JSON对象及JavaBean的相互转换...
05-15
fastjson 序列化时默认会对字符串中的转义字符进行转义,如果不想转义可以使用 SerializerFeature 来设置: ```java String json = JSON.toJSONString(obj, SerializerFeature.DisableEscapeHtml); ``` 其中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值