fastjson windows主机上线

原创 已于 2023-08-30 02:03:09 修改 · 386 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#windows #网络安全 #java

于 2023-08-30 02:02:26 首次发布
博客介绍了在Windows环境下利用Fastjson漏洞的实践过程。先创建命令执行的win类和Fastjson执行类,将win类传上vps并开启web服务,利用ldap协议运行项目。在模拟环境中操作,抓包修改请求格式,最终实现Windows主机上线,换常用payload也能成功。

首先创建一个win类,作为命令执行的类
在这里插入图片描述
然后写一个漏洞Fastjson的执行类
在这里插入图片描述
将我们的win类传上vps
在这里插入图片描述
然后开启web服务
在这里插入图片描述
接下来利用ldap协议

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec
最低0.47元/天 解锁文章
fastJSON_v2.3.5_JSON_windows_V2_
10-04
the Polymorphic JSON Serializer .
fastjson教程
donggandapao的博客
06-14 583
https://blog.youkuaiyun.com/srj1095530512/article/details/82529759 (Json详解以及fastjson使用教程)
Fastjson 介绍和使用
BoomMan
09-12 1874
为什么使用fastjsonfastjson在大量数据的情况下速度最快:http://blog.youkuaiyun.com/zml_2015/article/details/52165317引入fastjson通过Maven引入fastjson <!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <g
FastJSON入门到熟悉
weixin_42145856的博客
12-30 405
Fastjson 简介 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 源码地址:https://github.com/alibaba/fastjson Fastjson 中文 Wiki:https://github.com/alibaba/fastjson/wiki/Quick-Start-CN https.
记录打包部署Springboot项目到Windows环境
huaqianzkh的专栏
10-20 1954
Springboot项目开发完成后要做的工作就是部署了,这里记录下打包部署的过程。这个项目是一个SpringBoot多模块项目,包含了一个父工程,一个子模块和一个工具模块。其中子模块里有启动类,而工具模块没有。因此这三者的pom文件不一样。
fastjson反序列化漏洞复现
san3144393495的博客
04-20 883
通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。
万字渗透测试入门知识点,自学查漏补缺
yjwangan的博客
10-24 1314
万字渗透测试入门知识点,自学查漏补缺
HW面试常见知识点2——研判分析(蓝队中级版)
练习时长两年半的CTF爱好者
06-03 9212
护网一般分为红蓝两队,做红蓝对抗。红队为攻击队,红队的构成主要有“国家队”(国家的网安等专门从事网络安全的技术人员)、厂商的渗透技术人员。其中“国家队”的占比大概是60%左右,厂商的技术人员组成的攻击小队占比在40%左右。一般来说一个小队大概是3个人,分别负责信息收集、渗透、打扫战场的工作。蓝队为防守队,一般是随机抽取一些单位参与。另外设有裁判组 负责整个演习过程中的评判、评分工作。网络安全人才,是建设网络强国的最重要资源。网络安全的本质在对抗,对抗的本质在攻防两端能力的较量。
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6495
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
从零开始学习fastjson反序列化
mingyqf的博客
03-21 4107
转至:https://www.freebuf.com/vuls/276812.html 打大狼 2020-03-31 14:00:36 403083 2 fastjson使用简介 fastjson项目地址:https://github.com/alibaba/fastjson 用来实现Java POJO对象与JSON字符串的相互转换,比如: User user = new User(); user.setUserName("李四"); user.setAge(24); String userJson
FastJSON 简单使用
flysun的博客
01-24 8万+
FastJSON是一个Java语言编写的高性能,功能完善,完全支持http://json.org的标准的JSON库。多了不说了,百度一下一大把。 在此,简单的总结一下自己用过,测试过的方法。 如果使用Maven,在pom.xml文件加入以下依赖。 1 dependency> 2 groupId>com.alibabagroupId> 3 artifactId>fa
【渗透测试漏洞复现】fastjson1.2.24漏洞复现详细过程
GX233的博客
04-18 6922
fastjson1.2.24 RCE详细复现
关于Fastjson反序列化远程代码执行漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
05-25 1万+
一、风险描述 集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。 Fastjson是开源JSON解析库,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序
下载fastjson.jar包
RPWEB的博客
08-14 3万+
方法一: **第一步:**在maven repository中找到下载jar包的地址,访问https://github.com/alibaba/fastjson maven repository地址:https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.59 第二步:往下翻找到如下图所示地方,点击进去下载即可 方法二: 直接进入网...
Json详解以及fastjson使用教程
热门推荐
srj1095530512的博客
09-08 22万+
Json是一种轻量级的数据交换格式,采用一种“键:值”对的文本格式来存储和表示数据,在系统交换数据过程中常常被使用,是一种理想的数据交换语言。在使用Java做Web开发时,不可避免的会遇到Json的使用。下面我们就简单讲一下Json的使用以及fastjson.jar包的使用。 一:JSON形式与语法 1.1:JSON对象 我们先来看以下数据: { "ID": 1001, "name"...
fastjson 1.2.24/1.2.47漏洞复现
渗透之路,攻防之间皆学问
01-09 6671
当我们在渗透测试中,抓包的时候发现返回的流量内容存在json格式时,我们就可以想它是不是使用了fastjson
Java开发环境搭建(windows版、史上最详细版)
Runing_IT_Man的博客
09-02 6万+
Java开发环境搭建 在本章节中我们将为大家介绍如何搭建Java开发环境。我使用的是windows系统,那就给大家讲一下在windows系统下搭建java的开发环境。 Jdk介绍 JDK(Java Development Kit)是 Java 语言的软件开发工具包,主要用于移动设备、嵌入式设备上的java应用程序。JDK包含的基本组件包括: javac – 编译器,将源程序转成字节码 j
Java·关于List
Porunarufu的博客
11-25 386
List 是Collection接口的子接口,用于存储有序、可重复有序性:元素的插入顺序与存储顺序一致,支持通过索引(0 起始)访问元素;可重复性:允许存储多个相同的元素(包括null索引操作:提供了基于索引的增删改查方法(这是 List 与 Set 最核心的区别)。
使用Qoder编写ztdaq的C#跨平台示例总结
最新发布
haohaoganhuo的专栏
11-25 425
CSTest2是一个基于C# .NET 8.0和Avalonia UI框架开发的数据采集演示程序,主要用于与工业采集卡设备进行通信,实现AD(模数转换)数据的实时采集和波形显示功能。该程序提供了设备连接、数据采集、波形可视化等核心功能。
fastjson使用技巧与经验总结
Fastjson是一款由阿里巴巴集团开发的高性能的Java语言编写的JSON库,它能够将Java对象序列化成JSON格式的字符串,同时也能够将JSON字符串反序列化成Java对象。它广泛应用于Java应用程序的数据交换。对于初次接触...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值