fastjson_1.2.47 反序列化漏洞复现

最新推荐文章于 2024-02-24 21:37:45 发布
最新推荐文章于 2024-02-24 21:37:45 发布
阅读量340 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/acdcccc/article/details/133044053
版权

fastjson_1.2.47_反序列化漏洞

说明 内容
漏洞编号
漏洞名称 fastjson 1.2.47 反序列化漏洞
漏洞评级 高危
影响范围 Fastjson<=1.2.47
漏洞描述 fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
修复方案 升级
打补丁
上设备

漏洞描述

fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

漏洞等级

高危

影响版本

  • Fastjson<=1.2.47

漏洞复现

基础环境

组件 版本
OS kali-linux
Web Server chrome
fastjson 1.2.47
最低0.47元/天 解锁文章
fastjson 1.2.47 RCE漏洞保姆级复现
ALLEN'Blog
02-01 1405
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3539
Fastjson 1.2.47反序列化漏洞复现
fastjson1.2.47漏洞复现
m0_63699746的博客
07-05 925
​在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。相比1.2.24,1.2.47过滤了许多恶意类的上传姿势以及关闭了autoType,例如双写等绕过,但是并不阻挡hacker的攻击脚步,发现在fastjson中有一个全局缓存,当有类进行加载时,如果autoType没开启,会尝试从缓存中获取类,如果缓存中有,则直接返回。浏览器输入ip:端口。
fastjson反序列化漏洞fastjson-1.2.47
zyer
04-28 4269
fastjson 1.2.47 爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。 一.原理 测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2878
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
Fastjson【RCE1.2.47漏洞复现
02-24 2298
Fastjson漏洞原理和RCE1.2.47漏洞复现
Fastjson <= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 514
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
fastjson<=1.2.47反序列化漏洞复现
DaWan
09-29 484
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
Fastjson1.2.47反序列化漏洞
weixin_51151498的博客
01-05 1136
Fastjson1.2.47反序列化漏洞
Fastjson 1.2.47 RCE漏洞复现
wutiangui的博客
11-07 477
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。修改用户信息发现有回显。2.开启http服务。
fastjson-1.2.47
12-07
fastjson-1.2.34
fastjson-1.2.47.jar
03-16
fastjson-1.2.47.jar,用于将java转换成json**********
fastjson最新版本库1.2.47
12-25
fastjon最新版本库1.2.47,分享资源,一起学习。
fastjson-1.2.47-API文档-中文版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:com.alibaba,artifactId:fastjson,version:1.2.47 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
fastjson-1.2.47及源码、简单示例
08-30
fastjson-1.2.47及源码、简单示例
Fastjson1.2.47反序列化漏洞复现
Litbai_zhang
07-10 867
实验环境 攻击机C:Windows 10 企业版 LTSC 靶机A:CentOS8 (公网) 监听主机B:Centos7(公网) 项目地址: https://github.com/vulhub/vulhub 该篇复现环境是fastjson1.2.47复现手法同时适用于fastjson1.2.24,payload已在下文提供 基础环境搭建 在靶机A上安装docker curl https://download.docker.com/linux/centos/docker...
fastjson_1.2.47rce漏洞复现
weixin_71090536的博客
01-23 2204
Fastjson是一个 Java 语言编写的高性能 JSON 解析器和生成器
【vulhub漏洞复现Fastjson 1.2.47 反序列化漏洞复现
一剑开天门!的博客
02-17 2192
【vulhub漏洞复现Fastjson 1.2.47 反序列化漏洞复现
FastJson反序列化漏洞Fastjson1.2.47
jxy158212的博客
02-24 834
Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)它采用一种“假定有序快速匹配”的算法,把 JSON Parse 的性能提升到极致,是目前 Java 语言中最快的 JSON 库,并且它不依赖于其它任何库。Fastjson已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。
fastjson反序列化漏洞复现过程
最新发布
04-19
下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cwangc000

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值