fastjson_1.2.24反序列化漏洞复现

原创 已于 2023-09-08 22:40:03 修改 · 467 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2023-09-06 09:12:58 首次发布

fastjson_1.2.24_unserialize_CVE-2017-18349

说明 内容
漏洞编号 CVE-2017-18349
漏洞名称 fastjson 1.2.24 反序列化漏洞
漏洞评级 高危
影响范围 fastjson<=1.2.24
漏洞描述 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链
修复方案 升级
打补丁
上设备

漏洞描述

fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链

漏洞等级

高危

影响版本

  • fastjson<=1.2.24

漏洞复现

基础环境

组件 版本
OS kali-linux
Web Server chrome
fastjson 1.2.24

漏洞扫描

使用FastjsonScan进行扫描

  1. 登录页面,进行抓包

    在这里插入图片描述

  2. 修改请求方式为POST,将Content-Type改为application/json,并加上内容

    {
	"age":25,
	"name":"Bob"
}

    在这里插入图片描述

  3. 使用Fastjson进行扫描

    在这里插入图片描述

  4. 扫描到漏洞,得到POC

最低0.47元/天 解锁文章
fastjson1.2.24 反序列化漏洞复现
RMC131的博客
07-21 1183
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。这里json与java对象之间的转换,便是使用的序列化和反序列化fastjson反序列化也就是来自这里。详细介绍:https://www.runoob.com/w3cnote/fastjson-intro.html。
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1956
fastjson反序列化漏洞复现 CVE-2017-18349
面向对象初总结
qq_47469241的博客
06-05 152
第一次写博客,欢迎各路大神指点初错误之处 首先,面向对象的基本思想是,从现实世界中客观存在的事物出发来构造软件系统,尽可能多的使用人类的思想方式。 对象和类: 简单的来说,类是一类对象的模板,对象是该类一个具体实例。 类 对象 学生 学生张三 学号 123456 -姓名- -张三- 方法:显示姓名 输出“姓名:张三” 而类与类之间又存在一些不可告人的关系: 关联关系:学校->老师->学生(学校与学生也有关联关系) 继承关系:动物->猴类->金丝猴 聚集
Go匿名结构体使用场景
大灰狼的专栏
10-31 1164
struct { ... }:定义一个匿名结构体类型。匿名结构体通常用于临时数据结构或一次性使用的场景。你可以在匿名结构体中嵌套其他匿名结构体。通过使用匿名结构体,你可以在 Go 程序中方便地定义和使用临时数据结构,而无需为其定义单独的类型名称。匿名结构体可以让我们不用先定义结构体类型,再定义结构体变量。让结构体的定义和变量的定义可以结合在一起,一次性完成。构造测试数据处理Json嵌套锁。
在 JavaScript 中对数组进行排序:实际示例
我的博客,不一样的自我表达
04-30 306
在这篇文章中,我们探索了Array.prototype.sort()方法的复杂性,展示了它在各种场景中的用法,并探讨了它的局限性和注意事项。到本文结束时,您将深入了解 JavaScript 中的数组排序,包括处理单个和多个排序条件、区分大小写和不区分大小写的排序,以及管理就地排序的结果。在需要保留原始顺序的情况下,建议在排序之前创建数组的副本。应该注意的是,sort()存在该方法的不可变版本 - Array.prototype.toSorted(),尽管它在某些主要浏览器中的支持是有限的。
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析
st3pby的博客
12-19 1964
FastJson在<=1.2.24@typesetget这里分析利用链。
Fastjson对象嵌套引用解决办法
清风皓月长歌
11-29 2311
最近在开发项目中遇到一个FastJSON对象嵌套引用的问题,这种现象在接口调用时会因为参数传递不正确,导致接口调用失败。 下面以一个简单例子,说明FastJSON对象嵌套引用的现象以及解决办法。 public class FastJsonDemo { public static void main(String[] args) { List<Person> personList = new ArrayList<>(); Person p1
漏洞复现】5. Fastjson 1.2.24反序列化漏洞(CVE-2017-18349)复现
Zichel77的博客
03-21 2713
FastJson 库是 Java 的一个 Json 库,其作用是将 Java 对象转换成 json 数据来表示,也可以将 json 数据转换成 Java 对象,使用非常方便,号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化漏洞fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3902
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
Fastjson远程命令执行漏洞总结
qq_44796739的博客
07-29 1614
Fastjson远程命令执行漏洞总结
Python作业3
miliyue的博客
05-28 1580
若指定默认值,返回该默认值。从可迭代对象(如列表、元组)的元素作为键,创建新字典,所有键共享同一个默认值(默认为 None)。随机移除并返回集合中的一个元素(集合无序,无法指定移除哪个元素);判断原集合是否是另一个集合的子集(原集合的所有元素都在另一个集合中),返回布尔值。判断原集合是否是另一个集合的超集(原集合包含另一个集合的所有元素),返回布尔值。将原集合更新为仅包含在两个集合中不对称出现的元素(原地修改,保留对称差集)。将其他集合的元素添加到原集合中(原地合并,原集合包含所有参与集合的元素)。
Python中的嵌套字典访问与操作详解
m0_67847535的博客
02-09 1571
本文详细介绍了如何在Python中访问、修改、添加和删除嵌套字典中的键值对,以及如何遍历嵌套字典。嵌套字典是一种强大的数据结构,可以用于组织和管理复杂的数据。通过深入了解如何处理嵌套字典,将能够更有效地处理和操作复杂的数据集。
python-字典用法(50)
liao__ran的博客
09-26 366
&gt;&gt;&gt; adict = dict() &gt;&gt;&gt; dict(['ab','cd']) {'a': 'b', 'c': 'd'} &gt;&gt;&gt; adict {} &gt;&gt;&gt; bdict = dict([('name','bob'),('age','25')]) &gt;&gt;&gt; bdict {'name': 'bob',
FastJson序列号和反序列化范例(Java、Scala版)
i000zheng的博客
08-03 1906
目录 1. Java版 1.1 序列化         1.1.1 序列化一个普通对象         1.1.2 序列化和反序列化日期 1.2 反序列化 1.3 一些其他常用函数 2. Scala版 2.1 序列化 2.2 反序列化   1. Java版 1.1 序列化 1.1.1 序列化一个普通对象 存在空值时,有两种处理方法。 // 正常对象 User u =...
Fastjson源码分析—1.2.24漏洞分析
qq_45854465的博客
12-23 2944
2021SC@SDUSC 前面的文章中已经分析了Fastjson反序列化的相关代码,涉及的方面很多、覆盖面也很全。可以看到,Fastjson是一款非常好的Json字符串反序列化工具,高效、简洁、无依赖、可定制。然而,高效的Json解析也给它带来了风险,最大的问题莫过于几年前爆出的1.2.24版本的远程代码执行漏洞,该漏洞现在已经修复,本篇文章将分析这个漏洞产生的原因,复现方式以及解决方案,还尝试从工具开发者的角度探讨如何避免此类漏洞的发生。 目录漏洞复现产生原因技术背景代码分析解决方案如何避免此类问题发生
python学习(字典使用字符串格式化)
bob_tthp的博客
09-11 4380
字符串格式化 1.字典字符串格式化 >>> '%(a)s %(b)s' %  {'a':'fruit','b':'apple'} 'fruit apple' 2.>>> hello='''hello %(name)s  !  your age is %(age)s  ''' >>> values={'name':'bob','age':25} >>> print {
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8860
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
含多类型充电桩的电动汽车充电站优化配置方法(Matlab代码实现)
01-04
含多类型充电桩的电动汽车充电站优化配置方法(Matlab代码实现)内容概要:本文围绕含多类型充电桩的电动汽车充电站优化配置方法展开,基于Matlab代码实现,旨在解决充电站中不同类型充电桩的合理配置问题,以提升充电效率、降低运营成本并满足用户需求。文中结合实际应用场景,构建数学优化模型,可能涉及目标函数设计(如最小化投资成本、最大化服务能力)、约束条件(如电力容量限制、空间布局限制)以及多类型充电桩(如快充、慢充、超
【软件工程分析报告】网络设备配置技术笔记:路由交换安全策略综合应用
最新发布
01-04
内容概要:本文档是一份关于交换路由配置的学习笔记,系统地介绍了网络设备的远程管理、交换机与路由器的核心配置技术。内容涵盖Telnet、SSH、Console三种远程控制方式的配置方法;详细讲解了VLAN划分原理及Access、Trunk、Hybrid端口的工作机制,以及端口镜像、端口汇聚、端口隔离等交换技术;深入解析了STP、MSTP、RSTP生成树协议的作用与配置步骤;在路由部分,涵盖了IP地址配置、DHCP服务部署(接口池与全局池)、NAT转换(静态与动态)、静态路由、RIP与OSPF动态路由协议的配置,并介绍了策略路由和ACL访问控制列表的应用;最后简要说明了华为防火墙的安全区域划分与基本安全策略配置。; 适合人群:具备一定网络基础知识,从事网络工程、运维或相关技术岗位1-3年的技术人员,以及准备参加HCIA/CCNA等认证考试的学习者。; 使用场景及目标:①掌握企业网络中常见的交换与路由配置技能,提升实际操作能力;②理解VLAN、STP、OSPF、NAT、ACL等核心技术原理并能独立完成中小型网络搭建与调试;③通过命令示例熟悉华为设备CLI配置逻辑,为项目实施和故障排查提供参考。; 阅读建议:此笔记以实用配置为主,建议结合模拟器(如eNSP或Packet Tracer)动手实践每一条命令,对照拓扑理解数据流向,重点关注VLAN间通信、路由选择机制、安全策略控制等关键环节,并注意不同设备型号间的命令差异。
fastjson反序列化漏洞复现过程
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cwangc000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值