FASTJSON反序列化(靶场复现)

最新推荐文章于 2025-04-27 16:47:48 发布
最新推荐文章于 2025-04-27 16:47:48 发布
阅读量744 收藏 1
点赞数 1
文章标签: web安全 网络安全 笔记 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_66376444/article/details/129982126
版权
文章介绍了Fastjson在1.2.48以前版本中的反序列化漏洞,攻击者能构造特殊JSON字符串绕过白名单执行任意命令。漏洞主要由于Fastjson的反序列化机制和反射使用。文中还详细阐述了漏洞复现步骤,包括构造payload,利用JNDI-Injection-Exploit工具开启LDAP、HTTP服务,以及如何通过KaliLinux获取shell。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、漏洞信息
1、fastjson介绍:
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

2、漏洞原理:
Fastjson反序列化漏洞被利用的原因,可以归结为两方面:
①Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名;
②Fastjson自定义的反序列化机制会使用反射生成上述指定类的实例化对象,并自动调用该对象的setter方法及部分getter方法。

攻击者可以构造恶意请求,使目标应用的代码执行流程进入这部分特定setter或getter方法,若上述方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。官方采用了黑名单方式对反序列化类名校验,但随着时间的推移及自动化漏洞挖掘能力的提升。新Gadget会不断涌现,黑名单这种治标不治本的方式只会导致不断被绕过,从而对使用该组件的用户带来不断升级版本的困扰。
二、漏洞复现
1.获取子域


2.构造payload

payload:ldap://nddkbc.dnslog.cn

最低0.47元/天 解锁文章
wudidaniuniu
关注
fastjson反序列化漏洞
谢公子的博客
12-27 2505
Fastjson Fastjson是一个阿里巴巴开源的一款使用Java语言编写的高性能功能完善的JSON库,通常被用于将Java Bean和JSON 字符串之间进行转换。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。但是,从诞生之初,fastjson就多次被爆出存在反序列化漏洞。并且,每次都和autoType有关!那么,什
Fastjson反序列化RCE漏洞复现—CNVD-2017-02833
afei001
10-10 1003
fastjson是一款用Java语言编写的高性能功能完善的JSON库。可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定se
java执行脚本语言demo
Coder_android
11-11 1076
public class Test { /** * @param args * @throws IOException  */ public static void main(String[] args) throws IOException { // TODO Auto-generated method stub Process  process = Runtime.get
Pikachu靶场-PHP反序列化漏洞
最新发布
sucker的博客
04-27 1113
函数时,未对输入进行严格校验,导致攻击者构造恶意序列化字符串触发类中的魔术方法(Magic Methods),从而执行任意代码或进行危险操作。// 输出:O:7:"Example":1:{s:12:"Examplecmd";若反序列化的数据来源不可控(如用户输入、Cookie、数据库字段),攻击者可注入恶意对象。,且系统中使用了不安全的PHP魔法方法,容易造成安全漏洞(如代码执行、XSS等)。:攻击者可构造恶意序列化数据,触发类属性覆盖或魔术方法执行。
Fastjson反序列化漏洞(靶场搭建复现
hovcfuti的博客
10-10 1438
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
Fastjson靶场
王嘟嘟的博客
02-14 1072
花了一点时间,搞了一个Fastjson靶场,主要目的是为了测试payload,以及方便后来者做一些练习。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4856
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5479
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
FASTJSON反序列化复现
weixin_71604403的博客
03-01 1414
1.环境搭建一台kali(靶机)一台win(攻击机)kali换源# 官方源#根据需要自己选一个,中科大的还可以#中科大#阿里云#清华大学#浙大#东软大学#重庆大学进入/etc/apt目录编辑sources.list文件命令如下将原有的源注释,添加其他源,这里用的是阿里的随后进行更新apt-get update 更新索引apt-get upgrade 更新软件apt-get dist-upgrade 升级。
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1814
fastjson反序列化漏洞复现 CVE-2017-18349
Fastjson反序列化
热门推荐
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
JSON序列化与反序列化JAVA工具
07-30
本JSON是基于JAVA7编写,对比阿里的JSON三次测试结果如下: 10万次序列化,1万次反序列化,毫秒。 阿里序列化时间 1229 1133 1179 阿里反序列化时间 478 523 466 HZS序列化时间 1089 998 1010 HZS反序列化时间 606 623 635 测试代码如下: { org.hzs.json.JSONObject bjson; java.util.LinkedList<String> jd_Set = new java.util.LinkedList<>(); java.util.Random d1 = new java.util.Random(); java.util.UUID d2; int ji_i; long ji起始时间_i; long ji截至时间_i; java.util.Date date = new java.util.Date(); //生成1万个序列化後的文本 for (ji_i = 0; ji_i < 10000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(); bjson.put("a1", d1.nextDouble()); bjson.put("a2", d1.nextDouble()); bjson.put("a3", d1.nextDouble()); bjson.put("a4", d1.nextInt()); bjson.put("a5", d1.nextInt()); bjson.put("a6", d1.nextLong()); bjson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); bjson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b4", d2.toString()); bjson.put("c", new java.util.Date()); jd_Set.add(bjson.toString()); } com.alibaba.fastjson.JSONObject ajson, a1json = new com.alibaba.fastjson.JSONObject(); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 100000; ji_i++) { ajson = (com.alibaba.fastjson.JSONObject) a1json.clone(); ajson.put("a1", d1.nextDouble()); ajson.put("a2", d1.nextDouble()); ajson.put("a3", d1.nextDouble()); ajson.put("a4", d1.nextInt()); ajson.put("a5", d1.nextInt()); ajson.put("a6", d1.nextLong()); ajson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); ajson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); ajson.put("b4", d2.toString()); ajson.put("c", new java.util.Date()); ajson.toString(); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("阿里变量序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 10000; ji_i++) { ajson = com.alibaba.fastjson.JSONObject.parseObject(jd_Set.get(ji_i)); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("阿里反序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 100000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(); bjson.put("a1", d1.nextDouble()); bjson.put("a2", d1.nextDouble()); bjson.put("a3", d1.nextDouble()); bjson.put("a4", d1.nextInt()); bjson.put("a5", d1.nextInt()); bjson.put("a6", d1.nextLong()); bjson.put("a7", d1.nextBoolean()); d2 = java.util.UUID.randomUUID(); bjson.put("b1", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b2", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b3", d2.toString()); d2 = java.util.UUID.randomUUID(); bjson.put("b4", d2.toString()); bjson.put("c", new java.util.Date()); bjson.toString(); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("HZS变量序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); ji起始时间_i = java.util.Calendar.getInstance().getTimeInMillis(); for (ji_i = 0; ji_i < 10000; ji_i++) { bjson = org.hzs.json.JSONObject.d副本(jd_Set.get(ji_i)); } ji截至时间_i = java.util.Calendar.getInstance().getTimeInMillis(); System.out.print("HZS反序列化时间:"); System.out.println(ji截至时间_i - ji起始时间_i); }
fastjson反序列化漏洞利用
weixin_44414845的博客
07-13 1394
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
fastjson使用() -- 反序列化
随遇而安的博客
01-05 9562
阿里开源JSON库fastjson的使用。
FastJson反序列化分析
m0_49443776的博客
11-19 4248
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
反序列化漏洞靶场
leah126的博客
02-11 1879
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。此外,还将收集网上一些其他常用框架的反序列化链,对收录的所有反序列化链进行漏洞分析复现,并给出自己的 poc,以供参考。Laravel_5.4.0_9.3.6+_反序列化链_RCE1。
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 7192
fastjson反序列化漏洞原理及利用
vulfocus fastjson打靶
qq_18811919的博客
01-10 415
vulfocus/fastjson-cnvd_2017_02833:latest打靶
fastjson序列化漏洞复现靶场
03-30
### 关于 FastJSON 序列化漏洞的复现靶场或测试环境 FastJSON 是阿里巴巴开源的一个高性能 JSON 解析库,在 Java 开发中广泛使用。然而,由于其设计上的缺陷,FastJSON 曾多次暴露出严重的反序列化漏洞,这些漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值