fastjson 1.2.24 反序列化 CVE-2017-18349 && Fastjson 1.2.47 远程命令执行漏洞

最新推荐文章于 2024-06-19 12:51:52 发布
最新推荐文章于 2024-06-19 12:51:52 发布
阅读量373 收藏
点赞数
文章标签: 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45720618/article/details/113664464
版权

前言

fastjson库是Java的一个json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象

漏洞描述

FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。

通过查找代码中相关的方法,即可构造出一些恶意利用链。

环境准备

靶场:Vulhub
靶机:192.168.239.128
Kali :192.168.239.129

复现过程

  • 访问靶机:8090界面如下,表示环境搭建搭建成功。
    在这里插入图片描述

  • 新建一个shell.java,作用是将shell反弹到Kali上,并编译成.class文件。在这里插入图片描述

  • 监听7777端口。
    在这里插入图片描述

  • .class文件目录下起一个Python的HTTP服务,并确保可以正常访问。在这里插入图片描述在这里插入图片描述

  • 借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类shell.class在这里插入图片描述

  • 此时,攻击环境已准备就绪,上Payload在这里插入图片描述

  • 成功反弹shell并执行命令。But为什么不能执行ifconfig,求解。在这里插入图片描述

===============================================================================================

  • 又看了一眼Fastjson 1.2.47 远程命令执行漏洞就是Payload不一样,其余没变。在这里插入图片描述
哇·咔咔
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[渗透测试笔记] 48.Fastjson1.2.24反序列化漏洞复现(CVE-2017-18349)
H4ppyD0g的博客
03-16 2382
文章目录漏洞描述影响范围漏洞复现 漏洞描述 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCod
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
fastjson 1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349
EC_Carrot的博客
06-01 648
漏洞背景 Pippo是一款基于Java的Web框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞远程攻击者可通过发送特制的JSON请求利用该漏洞执行任意代码漏洞复现 首先新建java脚本: // javac TouchFile.java import java.lang.Runti
Fastjson 反序列化漏洞(CVE-2017-18349)
qq_68163788的博客
06-19 985
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 6366
fastjson 1.2.24 反序列化导致任意命令执行漏洞,可获得服务器root权限
漏洞复现】5. Fastjson 1.2.24反序列化漏洞CVE-2017-18349)复现
Zichel77的博客
03-21 1562
FastJson 库是 Java 的一个 Json 库,其作用是将 Java 对象转换成 json 数据来表示,也可以将 json 数据转换成 Java 对象,使用非常方便,号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化漏洞fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson代码执行漏洞 [CVE-2022-25845].md
07-09
Fastjson代码执行漏洞 [CVE-2022-25845]
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
fastjson1.2.47远程代码漏洞解决方案.rar
07-12
fastjson版本低于1.2.47出现的远程代码漏洞解决方案。
Fastjson漏洞CVE-2017-18349
GalaxySpaceX的博客
05-20 1226
Fastjson漏洞CVE-2017-18349
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349
Welcome To Myon'Blog !
03-09 2240
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
漏洞复现|CVE-2017-18349FastJson1.2.24反序列化导致任意命令执行漏洞
weixin_42282189的博客
09-13 1903
作者: 村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责 0x01 前言 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 0x02 影响范围 影响范围:Fastjson1.2.24及之前版本。 0x03 环境准备 3.1 目标环境 3.1.1 靶场环境 vulhub靶场环境:CVE-2017-18349 3.1.2 靶机: Ubuntu2.
fastjson-1.2.24-rce(CVE-2017-18349)&fastjson-1.2.47-rce(CNVD-2019-22238)
m0_62207170的博客
08-27 333
fastjson-1.2.24-rce(CVE-2017-18349)&fastjson-1.2.47-rce(CNVD-2019-22238)
fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
qq_55202378的博客
05-11 861
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
MD@@nr丫卡uer
12-28 1493
fastjson简介       fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 影响范围       fastjsonfastjson<=1.2.24 漏洞复现 使用vulhub cd /app/vulhub-20201028/fastjson/1.2
FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349
又菜又爱倒腾的博客
10-29 2363
#FastJson1.2.24反序列化导致任意命令执行漏洞CVE-2017-18349)# 一、漏洞简介 Pippo是一款基于Java的Web框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值