Fastjson≤1.2.47 RCE

最新推荐文章于 2024-06-24 23:59:21 发布
最新推荐文章于 2024-06-24 23:59:21 发布
阅读量1k 收藏
点赞数 1
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/limb0/article/details/106747307
版权
该博客详细介绍了Fastjson ≤ 1.2.47版本的一个远程命令执行(RCE)漏洞。文章讨论了autotype功能如何允许攻击者通过构造特殊数据进行恶意代码执行,以及受影响的版本。博主还阐述了漏洞的危害,即可能导致远程命令执行,并提供了漏洞验证的步骤,包括环境搭建、payload生成、攻击机配置以及利用marshalsec工具开启LDAP服务进行重定向。最后,给出了漏洞修复方案,建议升级到Fastjson的最新版本。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Fastjson≤1.2.47 RCE

一、漏洞介绍

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

影响版本:
Fastjson1.2.47以及之前的版本

二、漏洞危害

远程命令执行。

三、漏洞验证

环境搭建:
实验环境 系统 IP地址
攻击机 win10 192.168.134.130
靶机 Centos7 192.168.134.133 
docker pull vulhub/fastjson     #拉取镜像
docker run -d -p 8080:8080 -p 8443:8443 initidc/fastjson1.2.47_rce    #连接容器

验证一下环境是否正常:
在这里插入图片描述
在这里插入图片描述

漏洞复现
编译生成payload

首先将以下代码保存为Exploit.java(反弹shell命令在代码内,可自行调整)

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;

public class Exploit{
   
    public
最低0.47元/天 解锁文章
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/index.png) # Fastjson<=1.2.47反序列化漏洞为例 1、此时/tmp目录 ![img](https://github.com/mai-lang-chai/Middleware-Vulnerability-detection/blob/master/Fastjson/Fastjson%E5%90%84%E7%89%88%E6%9C%AC%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E6%B1%87%E6%80%BB/PIC/tmp.png) 2、编译Exploit.java javac
Fastjson反序列化审计及验证
二狗的博客
12-14 550
至此,Fastjson漏洞验证之旅已结束,通过DNSLog方式,我们证明了该地方存在Fastjson反序列化漏洞。在内网环境中,无法利用互联网的DNSlog进行漏洞验证。已确定了Fastjson版本存在问题,进一步寻找触发Fastjson的漏洞点。本项目引入的Fastjson版本为1.2.58,该版本存在反序列化漏洞。通过对各个页面的访问并抓包,找到propertyAddJson参数。这里我们优先结合方法一,方法二更适合get请求。字段中,点击发送数据包。方法,则这几处均存在反序列化。
【安全攻防知识-9】Fastjson(CNVD-2017-02833)验证
qq_26579613的博客
06-29 860
vulfocus-Fastjson(CNVD-2017-02833)验证
fastjson漏洞合集以及是否使用组件判断
weixin_46626737的博客
08-11 1067
3>使用marshalsec-0.0.3-SNAPSHOT-all.jar开启一个rmi或者ladp服务。则会发现rmi服务会有回显,而且shell会反弹回来。6>则会发现rmi服务会有回显,而且shell会反弹回来。(3)通过dnslog来判断是否使用了fastjson。2>将class文件放到http服务目录下。(2)查看其fastjson的版本。(1)漏洞版本:1.2.24之前。(1)漏洞版本:1.2.48以前。2)开启监听2233端口。1)写一个java文件。3)开启一个rmi服务。
fastjson-1.2.47官方jar包下载
09-05
《深入解析Fastjson-1.2.47官方jar包》 Fastjson是阿里巴巴开发的一款高效、强大的Java语言处理JSON的工具包,自其诞生以来,便以其卓越的性能和简洁的API,深受广大开发者喜爱。在Fastjson1.2.47版本中,我们...
Fastjson1.2.47以及之前的所有版本
10-26
RCE漏洞允许攻击者通过恶意构造的JSON数据,使得Fastjson解析时执行非预期的代码,进而可能获取服务器权限、篡改数据或执行其他恶意操作。 具体来说,Fastjson的某些特性,如`parseObject`和`parseArray`方法,没有...
fastjson-1.2.47.jar
04-14
fastjson-1.2.47.jar
jar包资源——fastjson-1.2.47.zip
12-05
这个资源包"fastjson-1.2.47.zip"包含了Fastjson的特定版本1.2.47的jar文件,以及一个ReadMe.txt文档,可能是对库的简要介绍或使用说明。 **Fastjson的核心功能** 1. **JSON解析与生成**:Fastjson提供了简单易用...
fastjson-1.2.47-API文档-中文版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)版.zip 对应...
fastjson 反序列化RCE,远程命令执行漏洞CVE、CNVD(2022年12月最新)
qq1140037586的博客
12-18 2362
漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大影响。
网络安全深入学习第七课——热门框架漏洞(RCEFastjson反序列化漏洞)
p36273的博客
09-18 1892
json全称是JavaScript object notation。即JavaScript对象标记法,使用键值对进行信息的存储。"age":23,json本质就是一种字符串,用于信息的存储和交换。------ Fastjson 是一个阿里巴巴公司开源的 Java 语言编写的高性能功能完善的 JSON 库。可以将Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。
FastjsonRCE1.2.47】漏洞复现
02-24 2169
Fastjson漏洞原理和RCE1.2.47漏洞复现
fastjson1.2.24反序列化RCE
最新发布
qq_61860998的博客
06-24 1435
fastjson1.2.24反序列化RCE
Fastjson 1.2.47 (远程代码执行)利用EXP进行漏洞复现
三天不打上房揭瓦的博客
12-26 2376
前言:小编也是现学现卖,方便自己记忆,写的不好的地方多多包涵,希望各位大佬多多批评指正。 目录漏洞概述漏洞复现环境准备利用过程避免踩坑防御方法 漏洞概述 漏洞复现 环境准备 1、一台windows10虚拟机 ip:192.168.0.110 作用:反弹shell的攻击机。 2、一台kali20(任意版本)的虚拟机 ip:192.168.0.111 作用:搭建Web和RMI服务的机器。 3、一台Ubuntu,装好vulhub靶场的虚拟机 ip:192.168.0.115 作用:搭建漏
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 491
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
Fastjson反序列化漏洞——fastjson RCE漏洞的源头(1.2.24-rce)
m0_71263989的博客
02-20 1172
FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。近几年来fastjson漏洞层出不穷,本文将谈谈近几年来fastjson RCE漏洞的源头:17年fastjson爆出的1.2.24反序列化漏洞。以这个漏洞为基础,详细分析fastjson漏洞的一些细节问题。
fastjson_1.2.47rce漏洞复现
weixin_71090536的博客
01-23 2150
Fastjson是一个 Java 语言编写的高性能 JSON 解析器和生成器
Fastjson RCE漏洞复现和理解
Delphinidae
03-28 2572
漏洞:fastjson 远程代码执行漏洞 漏洞原因:fastjson在执行反序列化时加载数据被注入,注入的数据被解析执行导致任意命令执行。 漏洞历史:现在fastjson的版本已经到了1.2.73了,但是历史上高危漏洞频繁出现。 如:1.2.24 出的反序列漏洞,经过对类的黑名单限制和autotype的关闭、checkautotype等,还是还被绕过限制,如:1.2.471.2.68 的漏洞,都是绕过限制加载恶意的类并造成远程代码执行的高危漏洞。 漏洞复现:复现版本是1.2.47。 漏洞复现github上
Fastjson1.2.47版本安全漏洞及修补建议
Fastjson1.2.47是该库的一个版本号。在IT行业,尤其是在Java开发领域,了解和掌握各个版本的库及其更新内容是非常重要的。在处理Fastjson1.2.47以及之前版本时,开发者需要注意以下几个方面: 1. 安全性问题:通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值