fastjson_1.2.47 反序列化漏洞复现

最新推荐文章于 2025-11-18 11:17:16 发布
原创 最新推荐文章于 2025-11-18 11:17:16 发布 · 443 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

fastjson_1.2.47_反序列化漏洞

说明 内容
漏洞编号
漏洞名称 fastjson 1.2.47 反序列化漏洞
漏洞评级 高危
影响范围 Fastjson<=1.2.47
漏洞描述 fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
修复方案 升级
打补丁
上设备

漏洞描述

fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

漏洞等级

高危

影响版本

  • Fastjson<=1.2.47

漏洞复现

基础环境

组件 版本
OS kali-linux
最低0.47元/天 解锁文章
Fastjson 1.2.47 RCE漏洞复现
wutiangui的博客
11-07 653
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发现有回显。2.开启http服务。
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1505
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
fastjson反序列化漏洞
最新发布
2302_80252080的博客
11-18 696
摘要:本文演示了两种Fastjson反序列化漏洞利用过程。在1.2.24版本中,通过搭建RMI服务器和恶意Java类文件,利用JdbcRowSetImpl触发远程代码执行,成功在目标服务器创建文件。1.2.47版本则改用LDAP协议,构造恶意JSON触发漏洞,最终获取反向shell。两种方法均先设置Python环境、编译恶意类文件,再通过HTTP服务提供恶意代码,利用BP重放构造的请求触发漏洞。实验通过不同端口(9473/9001等)和协议(RMI/LDAP)展示了Fastjson漏洞的多种利用方式。
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 4433
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
渗透测试-Fastjson 1.2.47 RCE漏洞复现
道阻且长,行则将至
07-11 8354
漏洞概述 Fastjson是阿里巴巴公司开源的一款 json 解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson 近几年被爆出的反序列化 RCE 漏洞影响无数厂商,2017年官方主动爆出了 fastjson 1.2.24 的反序列化漏洞以及升级公告,fastjson1.2.24 版本后增加了反序列化白名单。 而在2019年6月,fastjson 又被爆出在 fastjson< =1.2.47版本中,攻击者可以利用特殊构造的 json 字符串绕过白名单检测,成功执行任意
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 1037
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3644
Fastjson 1.2.47反序列化漏洞复现
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 591
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
Fastjson1.2.47反序列化漏洞复现
Litbai_zhang
07-10 990
实验环境 攻击机C:Windows 10 企业版 LTSC 靶机A:CentOS8 (公网) 监听主机B:Centos7(公网) 项目地址: https://github.com/vulhub/vulhub 该篇复现环境是fastjson1.2.47复现手法同时适用于fastjson1.2.24,payload已在下文提供 基础环境搭建 在靶机A上安装docker curl https://download.docker.com/linux/centos/docker...
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 519
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
(环境搭建+复现Fastjson1.2.47版本反序列化漏洞复现
热门推荐
daxi0ng的博客
11-13 1万+
0x00 简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 0x01 漏洞概述 Fastjson1.2.47反序列化漏洞 首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型...
fastjson-1.2.47
12-07
fastjson-1.2.34
fastjson-1.2.47.jar
03-16
fastjson-1.2.47.jar,用于将java转换成json**********
fastjson最新版本1.2.47
12-25
fastjon最新版本1.2.47,分享资源,一起学习。
fastjson-1.2.47-API文档-中文版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:com.alibaba,artifactId:fastjson,version:1.2.47 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 3037
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
Fastjson【RCE1.2.47漏洞复现
02-24 3220
Fastjson漏洞原理和RCE1.2.47漏洞复现
Fastjson1.2.47反序列漏洞复现
qq_69206769的博客
03-20 2401
JSON.toJSONString()能够将类转换为json字符串,并且在转换中调用了getter方法,而指定SerializerFeature.WriteClassName,其会将对象类型一起序列化并且会写入到@type字段中。当parse进行反序列化时,如果json字符串中有@type,会自动执行指定类的setter和getter方法。漏洞就出现在fastjson Autotype处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,执行恶意代码。
【vulhub漏洞复现Fastjson 1.2.47 反序列化漏洞复现
一剑开天门!的博客
02-17 2320
【vulhub漏洞复现Fastjson 1.2.47 反序列化漏洞复现
fastjson反序列化漏洞复现过程
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson版本号。可以通过查看项目的依赖文件或者代码中的导入...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cwangc000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值