CNVD-2019-22238 Fastjson 1.2.47 反序列化复现

最新推荐文章于 2024-04-13 14:00:00 发布
最新推荐文章于 2024-04-13 14:00:00 发布
阅读量715 收藏
点赞数
分类专栏: POC 漏洞复现 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45260839/article/details/126310455
版权

零、写在前面

  面试求职+南下杭州+租房+杂七杂八,一些事情索然,上周没有来得及学习并更新一款漏洞,怪尴尬的,还是太懒了……后面看看有没有时间补上吧。面试过程中,有三个比较重要的有价值的信息(关于漏洞和工作性质的),之后我也会拓展开新的模块(Java代码审计),进一步深入学习安全~

  这里先来完成一下第一个比较有价值的漏洞——fastJson反序列化

一、漏洞概述

        Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

二、影响版本

  • Fastjson <=1.2.47

三、漏洞原理

  Fastjson提供了autotype功能,允许用户在反序列化数据中通过"@type"指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的"Gadget"),则会造成一些严重的安全问题。——https://blog.csdn.net/yandonglinxswl/article/details/123532540

四、漏洞复现环境

攻击机:Kali

漏洞环境:vulhub(/vulhub/fastjson/1.2.47-rce)

五、实验步骤

1.开启vulhub漏洞环境

2.创建利用java脚本并编译,开一个服务挂到网上

#TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touc
最低0.47元/天 解锁文章
wavesky111
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson漏洞学习——CNVD-2019-22238复现
记录并分享学习安全的知识点..
05-09 1009
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、概述 Fastjson是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 二、影响版本 Fastjson < 1.2.68 ...
weblogic_rce:cve2019_2725,CNVD-C-2019-48814 Weblogic _async远程命令执行exp
03-15
CNVD-C-2019-48814,CVE-2019-2725 Weblogic _async远程命令执行exp 主要代码基于js实现。 Linux Payload使用Jason,Windows Payload修改为10271,执行java.lang.Runtime。 环境需求 Windows的所有版本。 用法 cve2019-2725_weblogic_rce.bat http://192.168.31.5:7001 "cat /etc/passwd" 漏洞信息 接触
向日葵RCE漏洞(CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞(CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
Fastjson报autotype is not support
最新发布
pleaseprintf的博客
04-13 1240
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。打开AutoType功能在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能是受限的,和之前的版本不同,如果在升级的过程中遇到问题,可以通过以下方法配置。注意:如果配置了safeMode,配置白名单也是不起作用的。一、添加autotype白名单在代码中配置如果有多个包名前缀,分多次addAccept加上JVM启动参数。
CNVD-C-2019-48814:CNVD-C-2019-48814 Weblogic wls9_async_response反序列化利用工具
03-16
CNVD-C-2019-48814
CNVD-2021-17369 smartweb管理系统管理员密码泄露.md
04-11
CNVD-2021-17369 smartweb管理系统管理员密码泄露
CNVD-2019-22238Fastjson 1.2.47 反序列化漏洞复现
冬的博客
03-16 2128
Fastjson 存在反序列化远程代码执行漏洞,当应用或系统使用 Fastjson 对由用户可控的 JSON 字符串数据进行解析时,将可能导致远程代码执行的危害。
cnvd_2019_22238
qq_59350385的博客
07-12 465
Fastjson 是Alibaba的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。相信利用过Fastjson漏洞的XDM都知道,该漏洞利用需要编写Java利用代码,然后在编译为class文件,在通过rmi/ladp等远程加载实现漏洞利用url:Vulfocus 漏洞威胁分析平台 本地需要安装java环境,启动JNDI-Injection-Exploit-1.0-SNAPSHOT-all
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 672
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
fastjson CNVD-2019-22238 远程代码执行漏洞
读书 买花 长大
05-19 420
CNVD-2019-22238
Fastjson1.2.48远程代码执行漏洞(CNVD-2019-22238
qq_40646572的博客
05-08 663
fastjson在对 JSON 字符串进行反序列化的时候,会读取 @type 的内容,试图把 JSON 内容反序列化成这个对象,并且会调用这个类的set方法, 利用这个特性,构造一个 JSON 字符串,并且使 用 @type 反序列化一个自己想要使用的攻击类。com.sun.rowset.JdbcRowSetImpl就是一个支持调用rmi功能的类。因此可以使用com.sun.rowset.JdbcRowSetImpl类进行远程调用exp。
配置JSON文件
03-20
编写的一个JSON配置文档,里边记录新版本程序的版本号,APK名称.
CNVD-2019-34241 SQL注入.MD
03-20
CNVD-2019-34241 SQL注入.MD
Fastjson反序列化和致远OAFastjson漏洞
maverickpig的博客
07-19 7009
Fastjson反序列化和致远OAFastjson漏洞
Fastjson反序列化RCE漏洞复现CNVD201922238
afei001
10-09 836
fastjson是一款用Java语言编写的高性能功能完善的JSON库。可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的set/get方法来访问属性,当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据, 使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,即可构造出一些恶意利用链。
Fastjson <=1.2.47反序列化RCE漏洞(CNVD201922238
king丶
08-21 1493
**Fastjson <=1.2.47反序列化RCE漏洞(CNVD201922238) ** **一、漏洞描述 ** Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法
Fastjson<=1.2.47-RCE反序列化漏洞(CNVD201922238)保姆级教程
精品博客,你值得一看~
08-10 476
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。
Fastjson远程代码执行(CNVD-2019-22238)漏洞复现
慢就是快
12-31 5062
文章目录0x00 漏洞简介0x02 影响版本0x03 漏洞复现0x03 指纹识别0x04 注意事项0x05 漏洞修复 0x00 漏洞简介 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 0x01 漏洞详情 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据
Fastjson 1.2.47 远程命令执行漏洞(CNVD-2019-22238
黑白的博客
11-23 1881
声明 好好学习,天天向上 漏洞描述 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可
CNVD-2019-37364
06-01
CNVD-2019-37364是关于华为云容器服务存在的安全漏洞。该漏洞存在于华为云容器服务的Kubernetes集群中,攻击者可以通过构造恶意请求,绕过容器内部的网络隔离机制,实现对其他容器中的敏感信息的访问和攻击。 具体来说,该漏洞是由于Kubernetes集群中的一个漏洞导致的,攻击者可以通过构造恶意网络请求,将网络流量路由到其他容器中,从而实现对其他容器的攻击和访问。攻击者可以利用该漏洞获取容器中的敏感信息、执行恶意代码、发起拒绝服务攻击等。 华为云已经在2019年6月份发布了漏洞修复公告,并且提供了相应的修复措施,建议用户尽快进行漏洞修复。同时,用户也可以采取以下措施来加强容器安全: 1. 及时更新容器镜像和应用程序,确保已经修复了已知的漏洞。 2. 启用容器内部的网络隔离机制,限制容器之间的网络访问权限。 3. 对容器内部的敏感信息进行加密或者其他保护措施,确保信息不会被未授权访问。 4. 对容器内部的应用程序进行安全审计,及时发现和修复可能存在的漏洞。 5. 对容器进行安全加固,如:关闭不必要的服务、减少系统漏洞等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值