复现fastjson 1.2.24 反序列化导致任意命令执行漏洞

最新推荐文章于 2025-06-12 18:04:11 发布
原创 最新推荐文章于 2025-06-12 18:04:11 发布 · 560 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

本文详细介绍了如何复现Fastjson 1.2.24版本的反序列化漏洞,包括启动漏洞环境、生成PHP马的class文件、在外网系统上部署HTTP服务、利用marshalsec项目启动RMI服务监听9999端口、修改请求数据包为POST并注入payload,最后通过蚁剑成功连接,展示了漏洞利用的完整过程。

启动漏洞环境

访问

生成带有PHP马的class文件

最低0.47元/天 解锁文章
DXfighting_
关注
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1368
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_67621628的博客
03-22 2436
2.编译并启动环境 docker-compose up -d 3.查看环境运行状态 docker ps | grep rce 访问 8090 端口 []( )漏洞利用 首先 vulhub 给出的复现提示如下 因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制, 我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 首先编译并上传命令执行代码,如http://evil
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_62117955的博客
06-03 1339
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。注:该漏洞可以反弹shell,方法与命令执行一样,构造的payload也与命令执行的一样,这里就不展示了。应用程序,用于接收和处理客户端的远程方法调用请求,实现分布式系统中的远程通信和方法调用。
vulhub中fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
yougexiaojiuguan的博客
03-16 854
漏洞复现过程的记录
fastjson 1.2.24 反序列化导致任意命令执行漏洞 复现超详细步骤
yc11223344的博客
07-05 1591
在本地启动环境: 首先我们需要一个java的环境 新建文件夹并且在文件夹里面建一个txt文件命名为TouchFile.java,里面写入代码 cmd在文件夹目录运行 就会看到生成了一个class文件可以看一下这位师傅的文章python2.x执行命令为python3.x执行命令为要在class文件下执行命令,进行监听8000端口 我们可以访问:本机ip:8000 我们借助marshalsec项目开启RMI服务,监听9999端口 下载完marshalsec之后,进到该目录下cmd运行会生成一个target文件夹
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
Welcome To My6n Blog
03-09 5295
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
bqnagus
10-01 1003
fastjsonfastjson 1.2.24 反序列化导致任意命令执行
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 1055
fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
【vulhub】Fastjson1.2.24反序列化导致任意命令执行漏洞复现
weixin_53797419的博客
01-08 1161
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
最新发布
m0_74795359的博客
06-12 925
Fastjson 是阿里巴巴开发的一款 JSON 解析器。在解析 JSON 的过程中,它支持使用 autoType 来实例化某一个具体的类,Fastjson允许JSON字符串中包含**@type**关键字来指示目标对象的类型。这意味着反序列化时,Fastjson会尝试加载并实例化这个类型的对象。如果应用程序配置允许自动类型识别,而没有适当的限制,攻击者就可以通过构造特殊的JSON字符串来指定恶意类。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 1022
fastjson 1.2.24 反序列化
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349)
m0_58596609的博客
01-05 1518
Fastjson1.2.24反序列化导致任意命令执行(CVE-2017-18349) 超详细
FastJson1.2.24反序列化导致任意命令执行漏洞复现(CVE-2017-18349)
又菜又爱倒腾的博客
10-29 2752
#FastJson1.2.24反序列化导致任意命令执行漏洞(CVE-2017-18349)# 一、漏洞简介 Pippo是一款基于Java的Web框架。FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全
FastJson反序列化远程命令执行漏洞分析
moshao123的博客
03-17 972
FastJson反序列化漏洞分析 文章目录FastJson反序列化漏洞分析前言一、Fastjson的介绍二、简单使用1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
fastjson1.2.24版本远程代码执行漏洞分析
资源摘要信息:"fastjson1.2.24反序列化远程代码执行漏洞复现" 一、fastjson简介 fastjson是一款Java语言编写的高性能、全面支持性良好的JSON处理库。它实现了JSON数据与Java对象之间的转换,并且被广泛应用于各种...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值