Fastjson 1.2.47 远程命令执行漏

最新推荐文章于 2024-07-27 18:27:11 发布
最新推荐文章于 2024-07-27 18:27:11 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: 安全 java Fastjson 文章标签: java Fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuandao_ahfengren/article/details/106682372
版权
本文详细介绍了Fastjson 1.2.47及以下版本的远程命令执行漏洞,包括漏洞简介、影响组件、漏洞指纹、漏洞分析和防护方法。通过DNS回显、DOS检测等方式可以判断是否存在此漏洞。利用RMI服务,可以触发命令执行。防护措施包括升级到1.2.68以上版本并关闭autotype,或使用WAF拦截请求中的autotype变形。
摘要由CSDN通过智能技术生成

1. 漏洞简介

Fastjosn 无疑是这两年的漏洞之王, 一手反序列化RCE影响无数厂商, 目前1.2.48以下版本稳定受影响, 1.2.68以下版本开启Autotype会受到影响

(不排除传说中的1.2.67以下RCE漏洞, 期待八仙过海)

2. 影响组件

Fastjson < 1.2.48 (<1.2.68?)

3. 漏洞指纹

可以通过DNS回显的方式检测后端是否使用Fastjson

{"@type":"java.net.Inet4Address", "val":"dnslog"}
{"@type":"java.net.Inet6Address", "val":"dnslog"}
{"@type":"java.net.InetSocketAddress"{"address":, "val":"dnslog"}}
{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"dnslog"}}""}
{
  {"@type":"java.net.URL", "val":"dnslog"}:"aaa"}
Set[{"
最低0.47元/天 解锁文章
玄道网安
关注
专栏目录
fastjson1.2.47RCE远程命令执行洞复现
zyl404的博客
01-06 1837
fastjson1.2.47RCE远程命令执行洞分析 洞背景 在2019年6月,fastjson 被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令洞分析 此洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype的绕过。 过程: 1.Fastjson在开始解析json (JS 对象
Fastjson 1.2.47 远程命令执行
m0_63241485的博客
08-17 1236
astjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。...
fastjson反序列化洞原理及<=1.2.24&<=1.2.47&Fastjson v1.2.80简单利用&不出网判断&修复方法
最新发布
m0_70535581的博客
07-27 1603
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
22 - vulhub - Fastjson 1.2.47 远程命令执行
易编橙 · 终身成长社群,相遇已是上上签!
11-16 1125
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。 因此在这里建议请及时更新至最新版本!
Fastjson 1.2.47 远程命令执行洞(CNVD-2019-22238)
黑白的博客
11-23 1974
声明 好好学习,天天向上 洞描述 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可
fastjson 1.2.47 远程命令执行
weixin_42786460的博客
10-14 543
fastjson 1.2.47 远程命令执行
fastjson1.2.47远程代码洞解决方案.rar
07-12
总结,面对Fastjson 1.2.47远程代码执行洞,及时升级到安全版本是首要任务,同时结合其他防御措施,可以大大提高系统的安全性。作为开发者,我们应该时刻保持警惕,不断学习和了解最新的安全威胁,以应对可能出现...
复现Fastjson 1.2.47 远程命令执行
qq_54713392的博客
05-14 1272
复现Fastjson 1.2.47 远程命令执行洞原理: Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。 攻击机:window 10 IP地址192.168.32.1 靶机:ubantu 16.04 IP地址192.168.32.142 攻击步骤: (1)开启Fastjson
fastjson-1.2.47及源码、简单示例
08-30
fastjson-1.2.47及源码、简单示例
Fastjson-1.2.47远程命令执行洞(标明坑位)
晚安這個未知的世界
09-21 1199
前言 最近一直想复现这个洞,但是一直没时间,也没怎么在网上找到真的有用的文章,太多水文了,10篇文章有9篇都是一模一样的copy,还有一篇就只copy了一半,另一半就不搞了,真的是有其人的,于是花了一点时间去复现这个洞,毕竟工作上有可能会遇到的,并且也标明了一些坑位,反正按照这篇文章是可以100%机率可以复现成功的 洞概述 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的sett
Fastjson1.2.47版本远程命令执行
来到了学渣的博客
07-20 3866
我的一个好朋友和我说,他在淘宝挖到fastjson命令执行,获得了一万奖金。我虽然是个学渣,也不太懂java,但起码以后碰到了,要知道这个玩意,并且要知道这个玩意如何挖掘。话不多说,开始复现之路。 环境 攻击机ip 192.168.10.144 洞环境ip 192.168.10.158 攻击的步骤: 1.Exploit.exp需要进行javac编译 2 所有用的工具和编译后的包要在同一目录,然后在该目录启动http服务和启动一个RMI服务器,监听9999端。其中RMI服务marshalsec
Fastjson 1.2.47远程代码执行)利用EXP进行洞复现
三天不打上房揭瓦的博客
12-26 2272
前言:小编也是现学现卖,方便自己记忆,写的不好的地方多多包涵,希望各位大佬多多批评指正。 目录洞概述洞复现环境准备利用过程避免踩坑防御方法 洞概述 洞复现 环境准备 1、一台windows10虚拟机 ip:192.168.0.110 作用:反弹shell的攻击机。 2、一台kali20(任意版本)的虚拟机 ip:192.168.0.111 作用:搭建Web和RMI服务的机器。 3、一台Ubuntu,装好vulhub靶场的虚拟机 ip:192.168.0.115 作用:搭建
fastjson1.2.47远程代码执行&JNDI洞利用工具
归零者的博客
06-23 879
Fastjson是一种Java库,用于处理JSON数据。它提供了一种简单高效的方式,用于将Java对象序列化为JSON,以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名,因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能,如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中,用于处理JSON数据。
Fastjson远程命令执行洞总结
weixin_52501704的博客
07-27 1128
将json字符串转化为json对象在net.sf.json中是这么做的//将json字符串转换为json对象在fastjson中是这么做的//将json字符串转换为json对象// Reference需要传入三个参数(className,factory,factoryLocation)// 第一个参数随意填写即可,第二个参数填写我们http服务下的类名,第三个参数填写我们的远程地址// ReferenceWrapper包裹Reference类,使其能够通过RMI进行远程访问。
Fastjson命令执行洞复现(1.2.471.2.24)
xiaobai_20190815的博客
04-12 1207
一、洞描述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链 二、影响版本 fastjson <=1.2.48(autoType为关闭状态也可使用) 三、洞利用 1、docker 拉取镜像,靶机一键起环境 docker-compose up -d 2、本机编辑恶意java文件,用于反弹shell,监听端口为1234,并编译javac Exploit.j
Fastjson【RCE1.2.47洞复现
02-24 1390
Fastjson洞原理和RCE1.2.47洞复现
fastjson1.2.47
09-09
Fastjson 1.2.47是一个高性能且功能完善的JSON库,它是用Java语言编写的。Fastjson采用了一种“假定有序快速匹配”的算法,提高了JSON解析的性能。它的接口简单易用,被广泛应用于缓存序列化、协议交互、Web输出等各种应用场景中。相比于之前的版本,1.2.47版本修复了一些安全问题,过滤了许多恶意类的上传姿势,并关闭了autoType,防止了一些攻击行为。然而,仍然需要注意,在Fastjson中存在一个全局缓存,当加载类时,如果autoType没有开启,它会尝试从缓存中获取类,如果缓存中有,则直接返回。因此,在使用Fastjson时,需要注意防止恶意类的上传。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值