fastjson最新版本_渗透测试中获取 fastjson 精确版本号的方法

最新推荐文章于 2024-08-07 10:03:43 发布
最新推荐文章于 2024-08-07 10:03:43 发布
阅读量2.2k 收藏
点赞数 2
文章标签: fastjson最新版本 fastjson版本
本文介绍了如何通过Fastjson的JavaBeanDeserializer类中的特定代码段触发异常,从而在某些情况下暴露fastjson的精确版本。作者指出这虽然不算漏洞,但可以作为渗透测试时的有效手段,利用不当处理的异常信息来探测项目的fastjson版本,并针对已知漏洞进行测试。文章提供了两种触发方式,并给出了复现场景和相关代码。
摘要由CSDN通过智能技术生成

背景

上个月天天打游戏一直没更文,也没啥研究成果,这次就随便发点小技巧。

没有技术含量,但在某些场景下也是可以运用得到。

目前来看是可以影响到最新版本(1.2.73)的。

细节

之前在找 fastjson 漏洞时看了很多可能存在问题的代码。

其中就包括 JavaBeanDeserializer 类。

该类有一处值得关注的代码如下图。

e8201c00581f9dd8f127d50af5235afa.png

5952578e11b2f4c692fd3023b796d6bf.png

这里在某个条件成立后就会抛出一个异常。

异常的 message 会把当前 fastjson 的版本号输出。

9e0d95c1cdd512db270acb8ec230ebce.png

VERSION 常量由三个类调用,只有 JavaBeanDeserializer 比较容易由用户触发。

再回到触发条件。

0f94c6a2150fec41f563b629a356a734.png

最主要的一个条件就是当前读取到的符号不得为 “{” 和 “,”。

然后就是如何来触发它了。

JavaBeanDeserializer 主要有两种方法可以触发。

1) 当代码使用 JSON.parseObject(json , clazz) 指定期望类的方式去解析 JSON,且 clazz 不能为 fastjson 已设定的大部分类型,如“Hashmap”、“ArrayList”

2) 当使用 JSON.parse(json) 不指定期望类的时候可以通过 AutoCloseable 来触发

最后要让精确版本能够输出在页面上还要满足“异常捕获处理不当”的条件。

复现

•第一种场景

5e77b7400c9de82430ce5b43574e6c5a.png

•第二种场景

5aa876fa3d274cd0b45cc6040aa6438d.png

以上两个 payload 都是没有读到 “{”和“,” 才进入缺陷代码块抛出了异常。

更贴近真实环境可以部署一个 demo iSafeBlue/fastjson-autotype-bypass-demo[1]

74ce4ea6be5fea81606f3242699c34e1.png

总结

按我的理解来看这个还算不上漏洞,但也算是一个缺陷。

总之在渗透时遇到代码对异常信息处理不当的项目还是很有效的。

可以直接在异常信息中暴露出 fastjson 的精确版本,然后再根据版本去测试已知漏洞。

References

[1] iSafeBlue/fastjson-autotype-bypass-demo: https://github.com/iSafeBlue/fastjson-autotype-bypass-demo

[2] 博客原文: https://b1ue.cn/archives/402.html

weixin_39875192
关注
红队攻防渗透技术实战流程:红队资产信息收集之单个目标信息收集
HACKONE的博客
03-25 937
根据目标网站的大小确定数据库类型首先,成本上的差距,access是不要钱的,mysql也是开源的,sql server 是收费的一般也就几千,Oracle的费用则数万。C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段的其一台服务器,也就是说是D段1-255的一台服务器,然后利用工具嗅探拿下该服务器。有时候网站的响应包会携带server信息,如下,这种情况多存在内网
红队专题-抓包工具-Burpsuite-fiddler-Wireshark
aming小老弟
12-13 4531
如果Java可运行环境配置正确的话,当你双击burpSuite.jar即可启动软件,这时,Burp Suite自己会自动分配最大的可用内存,具体实际分配了多少内存,默认一般为64M。当我们在渗透测试过程,如果有成千上万个请求通过Burp Suite,这时就可能会导致Burp Suite因内存不足而崩溃,从而会丢失渗透测试过程的相关数据,这是我们不希望看到的。捕获的数据包括有效载荷值和位置,HTTP状态代码,响应计时器,cookie,重定向数以及任何已配置的grep或数据提取设置的结果。
各个版本fastJson_jar包最新版
10-17
各个版本fastJson_jar包最新版,方便各位学习,交流互用
linux怎么看fastjson版本,fastjson怎么查看版本
weixin_35679869的博客
05-01 7547
FastJSON是一个Java语言编写的高性能,功能完善,可是在使用的过程,想查看fastjson版本如何操作?那么今天我们就给大家讲解一下fastjson查看版本方法。看Maven的pom.xml配置文件fastjson1.2.13fastjson如何解析复杂嵌套json字符串?这个实例是我在开发用到的,先给出要解析的json字符串[{"id":"user_list","key":...
推荐使用:阿里巴巴Fastjson - 快速且强大的JSON库
最新发布
gitblog_00388的博客
08-07 962
推荐使用:阿里巴巴Fastjson - 快速且强大的JSON库 fastjsonFASTJSON 2.0.x has been released, faster and more secure, recommend you upgrade.项目地址:https://gitcode.com/gh_mirrors/fastj/fastjson 在Java开发,JSON转换是一个常见的需求,而Fas...
当系统部署到测试环境,或线上时,该如何查看当前FastJson版本
Kason的博客
04-12 7897
当系统部署到测试环境,或线上时,该如何查看当前FastJson版本 提示:看见网上很多方法,有的不是很实用了,近日自己将fastJson版本升级到了1.2.76;需要在系统查看版本信息;用到了如下方法,故记录下来,供学习及参考: tips: 此处利用的是fastJson解析出错显示版本号 tips: 本人不是安全测试人员,用编程方式查看 tips: 这也是客户想看FastJson版本,做的一种处理,如果你的项目打成War包,那直接去pom文件查看即可 ps:本文的编写是为了,记录自己在学习过程的一些
FASTJSON 2.0 新版本
Dily_Su的博客
05-05 9366
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。
fastjson-1.2.4最新版本
03-19
fastjson-1.2.4.jar 最新版本
攻防启示:Chromium组件风险剖析与收敛
Tencent_SRC的博客
07-15 900
文|腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到Chromium组件上...
burp插件分享1
m0_55772907的博客
10-25 4746
burpsuite插件
android 面试题
zengguangchun的博客
09-29 9570
1.常用的存储方式有哪些? (五种,说出哪五种,五种存储方式什么情况下用。)注意sharepreferes对象支持读取不支持写入,写入引用Editor。 SQLite: SQLite是一个轻量级的数据库,支持基本SQL语法,是常被采用的一种数据存储方式。Android为此数据库提供了一个名为SQLiteDatabase的类,封装了一些操作数据库的API。 SharedPreference:
fastjson新版本库1.2.47
12-25
fastjon最新版本库1.2.47,分享资源,一起学习。
fastJson_jar包 1.2.57最新版本
04-21
Fastjson is a Java library that can be used to convert Java Objects into their JSON representation. It can also be used to convert a JSON string to an equivalent Java object. Fastjson can work with arbitrary Java objects including pre-existing objects that you do not have source-code of.
fastjson新版本jar包
07-21
fastjson新版本jar包 fastjson-1.2.14.jar
官方最新版fastjson-1.2.33.jar下载
06-12
官方最新版fastjson-1.2.33.jar下载
最新版fastjson-2.0.4.jar
06-22
最新版fastjson-2.0.4.jar,阿里巴巴旗下现最流行的json转换工具包。详细操作使用,请参考我的文章链接:https://blog.csdn.net/qq_45978154/article/details/125004445?spm=1001.2014.3001.5502
Fastjson 2 来了,性能继续提升,还能再战十年
weixin_45727359的博客
04-23 773
FASTJSON 2.0是FASTJSON项目的重要升级,目标是为下一个十年提供一个高性能的JSON库,同一套API支持JSON/JSONB两种协议,JSONPath是一等公民,支持全量解析和部分解析,支持Java服务端、客户端Android、大数据场景。FASJTONS2代码 https://github.com/alibaba/fastjson2/releases/t...
代码审计.SpringBoot(Mini-Tmall).Fastjson
qq_34012951的博客
02-20 727
1、pom.xml文件,查看fastjson版本。2、版本存在漏洞,搜索关键特征。3、定位污点参数入口。
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
fastjson新版本
07-31
Fastjson是一款由阿里...你可以访问阿里巴巴 Fastjson 的 GitHub 仓库(https://github.com/alibaba/fastjson)查看最新的版本号和发布信息。一般来说,GitHub 上会有明确的标签或 releases 页面显示当前的最新版本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值