漏洞复现—fastjson反序列化漏洞1.2.24/1.2.47

最新推荐文章于 2024-07-15 07:30:00 发布
最新推荐文章于 2024-07-15 07:30:00 发布
阅读量894 收藏 3
点赞数 3
分类专栏: 渗透测试 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45556536/article/details/109486621
版权
本文详细介绍了阿里巴巴的Fastjson库中的反序列化漏洞,涉及1.2.24和1.2.47版本。通过解释漏洞原理、影响版本和复现思路,展示了如何在复现环境中利用RMI和LDAP进行攻击,包括启动RMI服务、构造payload并反弹shell的过程。
摘要由CSDN通过智能技术生成

fastjson-反序列化漏洞1.2.24/1.2.47

基础知识

Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。RMI是一种行为,指的是Java远程方法调用。

漏洞原理

Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。
在这里插入图片描述

影响版本

Fastjson1.2.47以及之前的版本

复现思路

  1. 云主机B 的内置vulhub8090 端口搭建实验靶场
  2. 云主机B 的 6666 端口使用 python 开启一个简易的 web 站点
  3. 云主机B 的 9999 端口开启一个 rmi 服务(rmi 远程方法调用,一台机器上的程序调用另一台机器上的方法)
  4. 云主机B 的 2333 端口监听反弹过来的 shell

注:本次复现仅使用一个云主机实现

复现—Fastjson1.2.24

前情提要:云主机B作为攻击方,云主机内部靶场镜像开启Fastjson1.2.24漏洞容器作为受害方。

(1) 在云主机B中开启环境


查看和删除正在运行的容器:

docker ps -aq /rm

在这里插入图片描述
启动Fastjson1.2.24漏洞环境:

docker-compose up -d

最低0.47元/天 解锁文章
「已注销」
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson反序列化漏洞1.2.24高版本绕过
m0_61506558的博客
12-19 605
检测方法:全局搜索是否使用到了Fastjson,若使用了则进一步排查是否为漏洞版本号即1.2.22-1.2.47,若是则可能存在反序列化漏洞的风险,需进一步排查。全局搜索如下关键代码,若存在则进一步排查参数是否外部可控:
FastJson反序列化漏洞复现附带多个版本的payload
qq_41187177的博客
09-03 4299
FastJson<=1.2.68版本反序列化漏洞复现1.漏洞环境搭建2.攻击环境搭建3.攻击步骤4.各个Fastjson版本的payload3.漏洞解析 1.漏洞环境搭建 打开IDEA,新建一个java web的项目 修改HelloServlet.java文件输入一下代码import java.io.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import com.alibaba.fastjson.*; @W
Fastjson 反序列化漏洞复现
迷风小白
04-14 5295
Fastjson 反序列化漏洞复现 前言 因为之前并没有遇到过fastjson相关的漏洞,刚好这次有机会碰到了就顺便学习一下并记录自己踩过的坑。 漏洞原理 漏洞复现 这里漏洞环境主要是用vulhub上的两个fastjson漏洞搭建,搭建完成以后访问8090端口会出现如下所示 漏洞利用需要我们在vps上启一个RMI服务并调用class文件,这些我们都可以在一台服务器上完成。 首先我们先创建命令执行...
hacker远程控制的艺术之fastjson1.2.47漏洞利用
hobby云说
11-06 568
前言 Fastjson能将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。从一出生到现在,几乎凭阿里巴巴温少一己之力在维护着,从1.2.24版本到现在,一直和各路白帽/黑客进行着拉锯战,不同版本有着不同的漏洞利用点,今天我着重复现1.2.47版本的漏洞,本文会大致讲解利用过程和原理,至于源码层次的原理实在太多,之后有空单独出一篇文章。 这里有个小插曲,我复现洞后,告诉开发同学这个消息,被问了句,既然只要升级版本的话,你跟我说就好...
FastJson详解
最新发布
从基础到源码解析的学习记录
07-15 7722
FastJson 是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将JavaBean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。Fastjson 的优点速度快fastjson相对其他JSON库的特点是快从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越使用广泛fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5495
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
fastjson反序列化漏洞_【漏洞复现fastjson反序列化漏洞
weixin_39969611的博客
11-30 205
0x00影响版本fastjson< 1.2.480x01 漏洞原理 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。通过java.lang.Class,将JdbcRowSetImpl类加载到map缓存,从而绕过autotype的检测。因此...
fastjson>=1.2.47反序列化漏洞复现及实际利用
weixin_42486411的博客
05-07 1160
嗯,这一定是傻子都能看得懂的文章! 1.环境搭建 用的是vulhub的环境,里面有各种各样的漏洞环境,简单看看说明就知道怎么操作了。 vulhub下载地址:https://github.com/vulhub/vulhub 在虚拟机上搭建好后看具体的说明文件,是访问8090端口: ok确认环境已搭建完毕! 2.编译恶意文件 vulhub里面的说明文件就给出了恶意文件的内容: 将这段代码复制出来到文...
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3402
Fastjson 1.2.47反序列化漏洞复现
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6365
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
漏洞复现Fastjson反序列化
网络安全知识分享
12-31 5899
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2、fastjson<=1.2.413、fastjson<=1.2.424fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
fastjson-1.2.24漏洞复现
qq_43599126的博客
07-04 1148
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
fastJson1.2.24漏洞复现
@起风了的博客
05-06 737
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
fastjson 1.2.24漏洞复现
qq_18831583的博客
01-13 871
fastjson 1.2.24漏洞复现
FastJson反序列化漏洞复现
小赵同学的博客
07-29 3966
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
Fastjson反序列化漏洞复现
nidongla的博客
05-06 405
Fastjson反序列化漏洞复现优惠券免费领取 m.fenfaw.cn 0x00 前言 对Fastjson反序列化漏洞进行复现。 0x01 漏洞环境 靶机环境:vulhub-fastjson-1.2.24 ip:172.16.10.18 端口:8090 攻击机环境:kali,ip:192.168.82.130 0x02 漏洞利用 (1)首先使用docker起一个fastjson反序列化漏洞环境: 访问环境页面如下: (2)RMI利用方式 先编写好攻击脚本,反弹shell到kali上: public cla.
fastjson反序列化漏洞复现
Hanko的专栏
04-19 1073
00前言 fastjson是阿里的开源JSON解析库,被爆出两个远程命令执行漏洞,为2017年1.2.24版本和2019年1.2.47版本。 01环境准备 使用vulhub上的环境,在github上的vulhub下载下来,进入fastjson漏洞环境目录,执行以下命令。 然后访问http://ip:8090看见json返回数据,说明环境启动成功。 还需要开启一个rmi server,用来加载远程恶意类。rmi代码如下 import com.sun.jndi.rmi.registry.R
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
1. 利用Fastjson反序列化漏洞执行远程命令:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现远程命令执行。 2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值