Fastjson反序列化漏洞

最新推荐文章于 2024-11-05 23:53:45 发布
原创 最新推荐文章于 2024-11-05 23:53:45 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

本文介绍了Fastjson这款广泛使用的JSON解析库存在的高危漏洞,该漏洞允许攻击者通过构造特定JSON字符串利用Java反射机制执行任意代码。文章详细阐述了漏洞原理,并给出了特征检测方法,同时提供了1.2.24-rce版本的复现步骤,包括环境搭建、JNDI利用工具的使用以及如何构造和发送payload。

一、介绍

Fastjson是一款广泛应用于Java开发的JSON解析库,它提供了高效、方便、安全的序列化和反序列化功能。通过对Fastjson漏洞的研究,发现在其默认配置下,Fastjson存在高危漏洞,攻击者可以利用该漏洞执行任意代码,从而实现远程代码执行攻击。

二、漏洞原理

Fastjson漏洞的攻击原理基于Java反射机制,攻击者通过构造特定的JSON字符串触发Fastjson的反序列化操作,进而达到执行任意代码的且的。

三、特征

查看在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的jar文件,若存在fastjson-1.2.*.**.jar格式的jar文件,或者抓包发现被测应用系统的响应报文中包含"com.alibaba.fastjson"字符串,则需检测是否存在fastjson反序列化漏洞。

四、复现

1.2.24-rce

环境搭建
在这里插入图片描述访问
在这里插入图片描述下载JNDI利用工具
地址:https://github.com/welk1n/JNDI-Injection-Exploit/releases/tag/v1.0
在这里插入图片描述将下载的工具放入攻击机kali中

将反弹shell的命令进行bash加密

最低0.47元/天 解锁文章
fastjson反序列化漏洞
qq_73792226的博客
08-15 1072
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
fastjson 2.0.28发布
bingyu1024的博客
04-27 519
Maven中央仓库的统计数据显示,2023年4月份fastjson2下载量为45万。Spring 5 extension配置。Spring 6 extension配置。编辑:吴康宁,审核员:清蒸github。
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 6932
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
Fastjson反序列化漏洞:深入探讨与安全防范
xycxycooo的博客
08-31 2021
通过本文的讲解,我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson反序列化过程中,对输入数据的安全性验证不足,导致攻击者可以构造恶意JSON数据,触发反序列化操作,进而执行任意代码或命令。为了避免这类漏洞,可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证等安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞安全防范。如果你有任何问题或需要进一步的解释,请随时提问。
Fastjson反序列化漏洞利用教程
最新发布
weixin_38055730的博客
11-05 1336
Fastjson反序列化漏洞是一种高危安全漏洞,攻击者通过构造恶意的JSON字符串可以执行任意命令。此漏洞影响广泛,需要引起高度重视。通过本文的学习和实践,读者可以掌握Fastjson反序列化漏洞的基本原理、复现方法和利用技巧。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 4329
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
Fastjson 被曝高危漏洞!附解决方法
JAVA葵花宝典
05-30 4740
来源:安全客https://www.anquanke.com/post/id/2070290x01 漏洞背景202005月28日, 360CERT监测发现业内安全厂商发布了Fastj...
fastjson反序列化漏洞(CVE-2017-18349)
网络空间安全学习
09-19 955
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。
深入理解FastJson反序列化漏洞利用
知识点三:FastJson反序列化漏洞具体利用方法 FastJson在处理某些特定输入数据时,可能会不安全地执行Java代码。具体来说,漏洞通常是由于FastJson在解析JSON数据时会查找并调用类路径中的特定方法,例如setter方法...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值