fastjson 1.2.24 反序列化导致任意命令执行漏洞复现

已于 2023-05-30 19:59:01 修改
阅读量1.1k 收藏
点赞数 1
分类专栏: 漏洞复现 文章标签: java web安全 安全 系统安全
于 2023-05-30 19:48:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48539059/article/details/130952295
版权

前言

fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

环境搭建

启动测试环境

sudo docker-compose up -d

在这里插入图片描述

环境运行后,访问http://your-ip:8090即可看到JSON格式的输出。
在这里插入图片描述

漏洞复现

因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

这是一个比较常用的攻击类com.sun.rowset.JdbcRow

了解本专栏 订阅专栏 解锁全文 超级会员免费看
gaynell
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 465
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
fastjson1.2.24反序列化RCE
06-24
fastjson1.2.24反序列化RCE
FastJson1.2.24漏洞复现(详细步骤)
qq_35713681的博客
07-28 384
此测试用的是VM搭的Kali 2023.2。
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_60667010的博客
06-24 350
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照下面的知识点去找对应的学习资源,保证自己学得较为全面。观看全面零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。TypeUtils. loadClass() 根据传入的类名,生成类的实例。
fastjson 1.2.24 反序列化导致任意命令执行漏洞 复现超详细步骤
yc11223344的博客
07-05 1395
在本地启动环境: 首先我们需要一个java的环境 新建文件夹并且在文件夹里面建一个txt文件命名为TouchFile.java,里面写入代码 cmd在文件夹目录运行 就会看到生成了一个class文件可以看一下这位师傅的文章python2.x执行命令为python3.x执行命令为要在class文件下执行命令,进行监听8000端口 我们可以访问:本机ip:8000 我们借助marshalsec项目开启RMI服务,监听9999端口 下载完marshalsec之后,进到该目录下cmd运行会生成一个target文件夹
FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
又菜又爱倒腾的博客
10-29 2348
#FastJson1.2.24反序列化导致任意命令执行漏洞(CVE-2017-18349)# 一、漏洞简介 Pippo是一款基于JavaWeb框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全安全
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
Welcome To Myon'Blog !
03-09 2134
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 887
fastjson 1.2.24 反序列化
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 859
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_62117955的博客
06-03 1026
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。注:该漏洞可以反弹shell,方法与命令执行一样,构造的payload也与命令执行的一样,这里就不展示了。应用程序,用于接收和处理客户端的远程方法调用请求,实现分布式系统中的远程通信和方法调用。
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 794
fastjsonjava的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
golang 接口
m0_70982551的博客
07-24 952
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
最新发布
a1058926697的博客
07-26 515
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 646
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gaynell

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值