fastjson_1.2.24反序列化漏洞复现

原创 已于 2023-09-08 22:40:03 修改 · 467 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2023-09-06 09:12:58 首次发布

fastjson_1.2.24_unserialize_CVE-2017-18349

说明 内容
漏洞编号 CVE-2017-18349
漏洞名称 fastjson 1.2.24 反序列化漏洞
漏洞评级 高危
影响范围 fastjson<=1.2.24
漏洞描述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链
修复方案 升级
打补丁
上设备

漏洞描述

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链

漏洞等级

高危

影响版本

  • fastjson<=1.2.24

漏洞复现

基础环境

组件 版本
OS kali-linux
Web Server chrome
fastjson 1.2.24

漏洞扫描

使用FastjsonScan进行扫描

  1. 登录页面,进行抓包

    在这里插入图片描述

  2. 修改请求方式为POST,将Content-Type改为application/json,并加上内容

    {
	"age":25,
	"name":"Bob"
}

    在这里插入图片描述

  3. 使用Fastjson进行扫描

    在这里插入图片描述

  4. 扫描到漏洞,得到POC

最低0.47元/天 解锁文章
fastjson1.2.24 反序列化漏洞复现
RMC131的博客
07-21 1183
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。这里json与java对象之间的转换,便是使用的序列化和反序列化fastjson反序列化也就是来自这里。详细介绍:https://www.runoob.com/w3cnote/fastjson-intro.html。
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1955
fastjson反序列化漏洞复现 CVE-2017-18349
面向对象初总结
qq_47469241的博客
06-05 152
第一次写博客,欢迎各路大神指点初错误之处 首先,面向对象的基本思想是,从现实世界中客观存在的事物出发来构造软件系统,尽可能多的使用人类的思想方式。 对象和类: 简单的来说,类是一类对象的模板,对象是该类一个具体实例。 类 对象 学生 学生张三 学号 123456 -姓名- -张三- 方法:显示姓名 输出“姓名:张三” 而类与类之间又存在一些不可告人的关系: 关联关系:学校->老师->学生(学校与学生也有关联关系) 继承关系:动物->猴类->金丝猴 聚集
在 JavaScript 中对数组进行排序:实际示例
我的博客,不一样的自我表达
04-30 306
在这篇文章中,我们探索了Array.prototype.sort()方法的复杂性,展示了它在各种场景中的用法,并探讨了它的局限性和注意事项。到本文结束时,您将深入了解 JavaScript 中的数组排序,包括处理单个和多个排序条件、区分大小写和不区分大小写的排序,以及管理就地排序的结果。在需要保留原始顺序的情况下,建议在排序之前创建数组的副本。应该注意的是,sort()存在该方法的不可变版本 - Array.prototype.toSorted(),尽管它在某些主要浏览器中的支持是有限的。
Go匿名结构体使用场景
大灰狼的专栏
10-31 1163
struct { ... }:定义一个匿名结构体类型。匿名结构体通常用于临时数据结构或一次性使用的场景。你可以在匿名结构体中嵌套其他匿名结构体。通过使用匿名结构体,你可以在 Go 程序中方便地定义和使用临时数据结构,而无需为其定义单独的类型名称。匿名结构体可以让我们不用先定义结构体类型,再定义结构体变量。让结构体的定义和变量的定义可以结合在一起,一次性完成。构造测试数据处理Json嵌套锁。
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析
st3pby的博客
12-19 1963
FastJson在<=1.2.24@typesetget这里分析利用链。
Fastjson对象嵌套引用解决办法
清风皓月长歌
11-29 2310
最近在开发项目中遇到一个FastJSON对象嵌套引用的问题,这种现象在接口调用时会因为参数传递不正确,导致接口调用失败。 下面以一个简单例子,说明FastJSON对象嵌套引用的现象以及解决办法。 public class FastJsonDemo { public static void main(String[] args) { List<Person> personList = new ArrayList<>(); Person p1
漏洞复现】5. Fastjson 1.2.24反序列化漏洞(CVE-2017-18349)复现
Zichel77的博客
03-21 2710
FastJson 库是 Java 的一个 Json 库,其作用是将 Java 对象转换成 json 数据来表示,也可以将 json 数据转换成 Java 对象,使用非常方便,号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化漏洞fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3901
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
Fastjson远程命令执行漏洞总结
qq_44796739的博客
07-29 1614
Fastjson远程命令执行漏洞总结
Python作业3
miliyue的博客
05-28 1579
若指定默认值,返回该默认值。从可迭代对象(如列表、元组)的元素作为键,创建新字典,所有键共享同一个默认值(默认为 None)。随机移除并返回集合中的一个元素(集合无序,无法指定移除哪个元素);判断原集合是否是另一个集合的子集(原集合的所有元素都在另一个集合中),返回布尔值。判断原集合是否是另一个集合的超集(原集合包含另一个集合的所有元素),返回布尔值。将原集合更新为仅包含在两个集合中不对称出现的元素(原地修改,保留对称差集)。将其他集合的元素添加到原集合中(原地合并,原集合包含所有参与集合的元素)。
Python中的嵌套字典访问与操作详解
m0_67847535的博客
02-09 1570
本文详细介绍了如何在Python中访问、修改、添加和删除嵌套字典中的键值对,以及如何遍历嵌套字典。嵌套字典是一种强大的数据结构,可以用于组织和管理复杂的数据。通过深入了解如何处理嵌套字典,将能够更有效地处理和操作复杂的数据集。
python-字典用法(50)
liao__ran的博客
09-26 366
&gt;&gt;&gt; adict = dict() &gt;&gt;&gt; dict(['ab','cd']) {'a': 'b', 'c': 'd'} &gt;&gt;&gt; adict {} &gt;&gt;&gt; bdict = dict([('name','bob'),('age','25')]) &gt;&gt;&gt; bdict {'name': 'bob',
python学习(字典使用字符串格式化)
bob_tthp的博客
09-11 4380
字符串格式化 1.字典字符串格式化 >>> '%(a)s %(b)s' %  {'a':'fruit','b':'apple'} 'fruit apple' 2.>>> hello='''hello %(name)s  !  your age is %(age)s  ''' >>> values={'name':'bob','age':25} >>> print {
Fastjson源码分析—1.2.24漏洞分析
qq_45854465的博客
12-23 2944
2021SC@SDUSC 前面的文章中已经分析了Fastjson反序列化的相关代码,涉及的方面很多、覆盖面也很全。可以看到,Fastjson是一款非常好的Json字符串反序列化工具,高效、简洁、无依赖、可定制。然而,高效的Json解析也给它带来了风险,最大的问题莫过于几年前爆出的1.2.24版本的远程代码执行漏洞,该漏洞现在已经修复,本篇文章将分析这个漏洞产生的原因,复现方式以及解决方案,还尝试从工具开发者的角度探讨如何避免此类漏洞的发生。 目录漏洞复现产生原因技术背景代码分析解决方案如何避免此类问题发生
FastJson序列号和反序列化范例(Java、Scala版)
i000zheng的博客
08-03 1906
目录 1. Java版 1.1 序列化         1.1.1 序列化一个普通对象         1.1.2 序列化和反序列化日期 1.2 反序列化 1.3 一些其他常用函数 2. Scala版 2.1 序列化 2.2 反序列化   1. Java版 1.1 序列化 1.1.1 序列化一个普通对象 存在空值时,有两种处理方法。 // 正常对象 User u =...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8859
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
【医学图像处理】基于openslide的SVS切片多尺度分析:病理AI研究中的高分辨率图像处理与批量裁剪技术应用
最新发布
01-03
内容概要:本文是一份关于使用openslide处理显微镜病理SVS切片的全流程技术教程,涵盖从环境搭建、基础读取与可视化,到进阶裁剪、批量处理以及科研级应用拓展。文章详细介绍了SVS切片的特点和openslide库的功能,提供了Python代码示例,实现切片多层级图像提取、感兴趣区域裁剪、大批量SVS文件自动化处理,并进一步引导读者结合深度学习模型进行病变分割、细胞计数、多尺度分析及交互式可视化报告开发。同时附带常见问题避坑指南,帮助用户应对内存不足、坐标错乱和格式兼容等问题。; 适合人群:计算机或生物医学工程相关专业,正在进行病理图像分析方向毕业设计的学生,具备一定Python编程和图像处理基础的研发人员。; 使用场景及目标:① 掌握openslide对超大SVS切片的高效读取与多层级可视化方法;② 实现病理图像的精准裁剪与批量预处理,为AI模型训练准备数据;③ 构建从全切片到局部细节的多尺度分析流程,提升毕设的技术深度与科研价值。; 阅读建议:建议边实践边学习,配合提供的代码链接动手操作,优先在小样本上验证流程,并结合ImageScope软件进行坐标定位与结果验证,注意处理大文件时的内存优化策略。
update9-20260103.5.211.slice.img.7z.003
01-03
小雉系统分卷源码
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cwangc000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值