fastjson1.2.24 反序列化漏洞复现

最新推荐文章于 2025-10-24 16:01:34 发布

原创

最新推荐文章于 2025-10-24 16:01:34 发布 · 1.1k 阅读

14 ·

CC 4.0 BY-SA版权

文章标签：

#web安全

fastjson简介

Fastjson 是一个 Java 库，可以将 Java 对象转换为 JSON 格式，当然它也可以将 JSON 字符串转换为 Java 对象。
Fastjson 可以操作任何 Java 对象，即使是一些预先存在的没有源码的对象。
这里json与java对象之间的转换，便是使用的序列化和反序列化，fastjson的反序列化也就是来自这里。
详细介绍：https://www.runoob.com/w3cnote/fastjson-intro.html

漏洞环境

vulhub

仅是复现漏洞可以使用vulbub，直接使用docker启动漏洞环境即可。
环境安装参考以下链接
安装docker：https://blog.youkuaiyun.com/BThinker/article/details/123358697
vulhub下载：https://github.com/vulhub/vulhub
使用到的命令：

# 启动
docker-compose up -d
# 查看运行情况
docker ps
# 进入容器
docker exec -it [ID] bash
# 停止容器
docker stop [ID]

漏洞复现

使用JNDI注入测试工具：JNDI-Injection-Exploit-1.0-SNAPSHOT
下载地址：https://gitee.com/yijingsec/JNDI-Injection-Exploit
开启漏洞环境，访问
在这里插入图片描述
构造post请求，可以修改name参数的值

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

_JINJI_

关注关注

22
点赞
踩
14

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现

qq_55202378的博客

05-11

1429

如果用户勾选记住密码，那么在请求中会携带cookie，并且将加密信息存放在cookie的rememberMe字段里面，在服务端收到请求对rememberMe值，先base64解码然后AES解密再反序列化，这个加密过程如果我们知道AES加密的密钥，那么我们把用户信息替换成恶意命令，就导致了反序列化RCE漏洞。时，需要进行 base64 编码绕过检测（不编码，执行不了，已经试过了~）：勾选记住密码选项后，点击登录，抓包，观察请求包中是否有。注意：这里java版本要用java8。，加一个环境变量，就可以用了~

fastjson1.2.24反序列化漏洞复现 CVE-2017-18349

m0_62284238的博客

09-10

1935

fastjson反序列化漏洞复现 CVE-2017-18349

参与评论您还未登录，请先登录后发表或查看评论

Fastjson 1.2.24反序列化漏洞复现

weixin_60830484的博客

04-17

561

本文将进行一次详细的Fastjson 1.2.24反序列化漏洞复现

fastjson全版本漏洞深度剖析

最新发布

从零开始，掌握网络安全。提供全面的网络安全教程、攻防演练技巧和行业动态。

10-24

810

摘要：Fastjson作为Java常用JSON解析库，因反序列化机制缺陷频发高危漏洞。核心漏洞包括RCE（如1.2.24版本通过@type绕过黑名单）、DoS（畸形JSON导致OOM）和依赖库滥用（如xbean的JNDI注入）。攻击技术涉及AutoType绕过（缓存污染、前后缀构造）和JNDI链利用。防御需升级至1.2.83+、启用安全模式、配置黑名单及流量监控。典型攻击案例显示金融和电商行业需结合OAuth2、RASP等防护。未来威胁含AI生成多态payload和供应链攻击，建议采用联邦学习检测和零信任架

fastjson反序列化-1.2.24漏洞利用与分析

2301_80127209的博客

03-19

1266

Fastjson的1.2.24版本是最先发现漏洞的版本，这篇文章也是作为学习Fastjson反序列化的开端。后续会继续学习Fastjson高版本的绕过。反序列化之路任重而道远。申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。免费领取安全学习资料包！渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。

fastjson反序列化-1.2.24

qq_51780583的博客

05-17

289

获取地址rmi://172.16.16.92:1099/juyjrv，然后返回浏览器，抓包放入json格式的payload。抓包，然后burp修改文件类型，然后将修改Content-Type为 application/json。通过JNDI注入程序，开启一个rmi服务。然后Kali编写payload。直接拿去到了root权限。访问靶机8090端口。

Fastjson 1.2.24 反序列化漏洞复现

huangyongkang666的博客

04-15

3896

fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时，未对@type字段进行安全的安全性验证，攻击者可以传入危险类，并调用危险类连接远程RMI主机，通过其中的恶意类执行代码

【漏洞复现】5. Fastjson 1.2.24反序列化漏洞（CVE-2017-18349）复现

Zichel77的博客

03-21

2616

FastJson 库是 Java 的一个 Json 库，其作用是将 Java 对象转换成 json 数据来表示，也可以将 json 数据转换成 Java 对象，使用非常方便，号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化的漏洞，fastjson 在解析 json 的过程中，支持使用 autoType 来实例化某一个具体的类，并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

fastjson1.2.24反序列化RCE

qq_61860998的博客

06-24

1537

fastjson1.2.24反序列化RCE

Fastjson 1.2.24反序列化漏洞

weixin_51151498的博客

01-04

706

Fastjson 1.2.24反序列化漏洞

fastjson 1.2.24反序列化漏洞

weixin_68547367的博客

01-04

1464

fastjson是一个Java语言编写的高性能且功能完善的JSON库，它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到了极致，它的接口简单易用，已经被广泛使用在缓存序列化，协议交互，Web输出等各种应用场景中。在网络传输的过程中，RMI中的对象是通过序列化方式进行编码传输的，这意味着，RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable：表示序列化，是一个空接口，也就是说这个接口没有声明任何的方法，所以实现这个接口的类也就不需要实现任何的方法。

【反序列化】FastJson1.2.24 反序列化漏洞解析（CVE-2017-18349）

Continuejww的博客

09-17

600

基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。

fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析

st3pby的博客

12-19

1927

FastJson在<=1.2.24@typesetget这里分析利用链。

fastjson-1.2.24漏洞复现

qq_43599126的博客

07-04

1804

看完利用链分析后，我们来总结一下，整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制，允许指定@type来反序列化任意类，所以导致了反序列化漏洞。

Fastjson 漏洞复现1.2.24-rce

人们并不感谢罗辑

08-22

2113

fastjson是阿里巴巴开源的一个json解析库，能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键，autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制，攻击者可以构造恶意的json字符串来触发这个漏洞

fastjson 1.2.24反序列化漏洞复现

ATpiu的博客

03-21

3872

简介 fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。在Java 8u102环境下，没有com.sun.jndi.rmi.object.trustURLCodebase的限制，可以使用com.sun.rowset.JdbcRowSetImpl的利用链，借助JNDI注入来执行命令。环境靶机：http://192...

fastJson1.2.24漏洞复现

@起风了的博客

05-06

860

背景 fastJson在1.2.25版本之前的AutoType 是默认开启的，在1.2.25版本之后就是默认关闭的。而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com

Fastjson反序列化漏洞(1.2.24 RCE)

m0_61506558的博客

09-13

4365

Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式，也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候，类型丢失，这样我们在反序列化的时候就不需要再指定类名。

fastjson反序列化漏洞复现过程

04-19

下面是fastjson反序列化漏洞的复现过程[^1][^2]： 1. 判断是否使用Fastjson以及Fastjson版本：首先需要确定目标系统是否使用了Fastjson，并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入...