Fastjson实验(1.2.45-1.2.47)

原创 于 2025-12-11 10:28:55 发布 · 435 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

Fastjson 1.2.45 到 1.2.47 版本的漏洞复现实验,我把整个实操过程和遇到的问题整理了一下,分享给同样在研究 Fastjson 漏洞的朋友,也当作自己的学习笔记。

一、Fastjson1.2.45版本

1.FastJson全版本Docker漏洞环境:https://github.com/lemono0/FastJsonParty

2.进入该版本的目录后docker compose up -d启动docker环境

3.打开后如图,我们登录并抓包,右键发送到重放器,发现是json格式

4.我们构造报错看看(删除最后一个花括号),确认是fastjson

**syntax error, position at X, name Y是最典型的fastjson特征**

5.fastjson版本探测,我们拼接payload(同样不加花括号),发现是1.2.45版本

6.接着我们探测java版本(不同版本的Java其内置的类库和可利用的链版本是完全不同的)

构造函数

{
    "@type": "java.lang.Class",
    "val": "一个不存在的类名,例如com.example.nonexistent"
}

Java 版本

响应特征

<font style="color:rgb(0, 0, 0);"><= 8u121</font>

HTTP 状态码 200,无异常或错误信息包含 <font style="color:rgb(0, 0, 0);">jsonClass</font>

<font style="color:rgb(0, 0, 0);">8u121+ ~ 11</font>

HTTP 状态码 500,错误信息包含 <font style="color:rgb(0, 0, 0);">getJsonClass</font>/ <font style="color:rgb(0, 0, 0);">setJsonClass</font>等关键字

<font style="color:rgb(0, 0, 0);">>= 11</font>

HTTP 状态码 500,错误信息不包含 <font style="color:rgb(0, 0, 0);">jsonClass</font>,但包含 <font style="color:rgb(0, 0, 0);">getModule</font><font style="color:rgb(0, 0, 0);">module</font>等关键字

7.确定了是高版本JDK,所以我们使用JNDIBypass.jar 工具。

我们先打开kali开始监听9001端口

发现反弹不到shell

8.换个方式,我们把JNDIBypass.jar工具放到公网上,执行命令,在请求包中构造请求,连接JNDIBypass.jar给的链接

9.成功连接

二、Fastjson1.2.47版本

1.启docker环境,进入页面

2.抓包分析,确认使用了fastjson

3.确定版本

4.判断出网

{
  "@type":"java.net.Inet4Address",
  "val":"yomiom.dnslog.cn"
}

5.尝试注入冰蟹马

6.连接成功

三、Fastjson1.2.47版本存在WAF

1.启docker环境,进入页面

2.抓包分析,确认使用了fastjson

3.确定版本,发现hacker!这个字眼,说明存在WAF

4.我们编码尝试一下(尝试使用unicode或者hex编码来处理payload,因为fastjson默认解析这两种编码。)使用unicode编码发现绕过成功

5.判断出网,还是编码绕过

6.那么我们还是注入冰蟹码,这里拼接payload的时候我们使用yakit(编码方便)

7.我们使用冰蝎连接,连接成功

这次实验下来,发现 Fastjson 1.2.45 和 1.2.47 版本的漏洞利用思路大体一致,遇到 WAF 时,利用 Fastjson 对编码的原生支持做关键字绕过,是很直接有效的方法。

大家有问题可以在评论区交流,欢迎大家点赞收藏~

(提示:测试一定要在合法授权的环境下进行,禁止未经允许测试他人网站,遵守法律和道德底线!)

冰块的冰
关注
漏洞复现—fastjson反序列化漏洞1.2.24/1.2.47
weixin_45556536的博客
11-04 1049
fastjson-反序列化漏洞1.2.24/1.2.47基础知识漏洞原理影响版本复现思路复现—Fastjson1.2.24复现—Fastjson1.2.45/1.2.47 基础知识 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。RMI是一种行为,指的是Java远程方法调用。 漏洞原理 Fas
vulhub之fastjson
追风少年亚索的博客
11-21 1215
免责声明: 本人所有文章均为技术分享,均用于防御为目的的记录,所有操作均在实验环境下进行,请勿用于其他用途,否则后果自负。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 3014
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
Fastjson1.2.47反序列化漏洞复现
thelostworld
05-12 706
一、漏洞描述Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意
fastjson反序列化漏洞
whj_study的博客
02-21 6431
# 漏洞名称: fastjson-cnvd_2017_02833 ## 漏洞简介 * Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java对象。 * Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON字符串转换为 Java 对象 Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义
【漏洞复现】Fastjson反序列化
网络安全知识分享
12-31 6172
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
java安全之fastjson链分析
蚁景网安学院
06-03 775
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
JAVA安全—FastJson反序列化&利用链跟踪&autoType绕过
2301_76227305的博客
02-07 1975
目前主流公开的利用链都进行了分析,后续如果有其它的链条,再慢慢分析吧。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
autotype安全 fastjson_Fastjson历史漏洞研究(一)
weixin_39983993的博客
12-22 371
本文衔接上一篇文章《Fastjson 1.2.24反序列化漏洞深度分析》,继续探讨一下FastJson的历史漏洞。在《Fastjson 1.2.24反序列化漏洞深度分析》一文中,我们以Fastjson 1.2.24反序列化漏洞为基础,详细分析fastjson漏洞的一些细节问题。Fastjson 1.2.24 版本的远程代码执行漏洞可谓是开辟了近几年来Fastjson漏洞的纪元。在Fastjson ...
精选资源
fastjson-1.2.47-API文档-中文版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体).zip 对应...
fastjson-1.2.47-API文档-中英对照版.zip
04-08
赠送jar包:fastjson-1.2.47.jar; 赠送原API文档:fastjson-1.2.47-javadoc.jar; 赠送源代码:fastjson-1.2.47-sources.jar; 包含翻译后的API文档:fastjson-1.2.47-javadoc-API文档-中文(简体)-英语-对照版....
fastjson-1.2.47官方jar包下载
09-05
《深入解析Fastjson-1.2.47官方jar包》 Fastjson是阿里巴巴开发的一款高效、强大的Java语言处理JSON的工具包,自其诞生以来,便以其卓越的性能和简洁的API,深受广大开发者喜爱。在Fastjson1.2.47版本中,我们...
jar包资源——fastjson-1.2.47.zip
12-05
这个资源包"fastjson-1.2.47.zip"包含了Fastjson的特定版本1.2.47的jar文件,以及一个ReadMe.txt文档,可能是对库的简要介绍或使用说明。 **Fastjson的核心功能** 1. **JSON解析与生成**:Fastjson提供了简单易用...
fastjson-1.2.47.jar
04-14
fastjson-1.2.47.jar
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8842
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
基于改进灰狼算法的并网交流微电网经济优化调度研究(Matlab代码实现)
12-10
基于改进灰狼算法的并网交流微电网经济优化调度研究(Matlab代码实现)
哈工大编译原理课程实验项目之Pascal语言简易编译器实现从高级语言到汇编代码的完整翻译流程_包含词法分析语法分析语义分析中间代码生成与优化以及目标代码生成的全过程实现并附带详细注.zip
12-10
哈工大编译原理课程实验项目之Pascal语言简易编译器实现从高级语言到汇编代码的完整翻译流程_包含词法分析语法分析语义分析中间代码生成与优化以及目标代码生成的全过程实现并附带详细注.zip
编译原理课程作业与学习资源综合管理仓库_包含词法分析语法分析语义分析中间代码生成代码优化目标代码生成等核心章节的实践代码实验报告习题解答与课程笔记_用于系统化学习编译技术掌握编译器.zip
12-10
编译原理课程作业与学习资源综合管理仓库_包含词法分析语法分析语义分析中间代码生成代码优化目标代码生成等核心章节的实践代码实验报告习题解答与课程笔记_用于系统化学习编译技术掌握编译器.zip
图像质量传输.zip
最新发布
12-10
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
fastjson-1.2.47下载
07-03
### 回答1: 要下载Fastjson-1.2.47,您可以按照以下步骤进行: 1. 打开您喜欢使用的浏览器,例如谷歌浏览器,火狐浏览器等。 2. 在搜索栏中输入"Fastjson-1.2.47下载",点击搜索按钮。 3. 在搜索结果中,您可能会找到许多网站提供的Fastjson-1.2.47的下载链接。选择一个您信任的官方网站,或者选择一些广受好评的下载站点。 4. 点击您选择的下载链接,进入Fastjson-1.2.47的下载页面。 5. 在下载页面上,您可能会看到一些说明和选项。根据您的需求,选择适当的选项,例如下载版本(如果有多个版本提供),下载平台等。 6. 点击"下载"按钮,开始下载Fastjson-1.2.47。 7. 下载完成后,找到下载的文件。通常情况下,它会保存在您的计算机的默认下载文件夹中。 8. 双击下载的文件,运行安装程序。按照提示完成安装过程。 9. 安装完成后,您现在可以使用Fastjson-1.2.47进行开发和其他操作了。 请注意,在任何时候下载软件时,要确保从可信的来源下载软件,并在安装之前使用杀毒软件进行扫描,以确保安全性。 ### 回答2fastjson-1.2.47是一个用于Java编程语言的JSON(JavaScript Object Notation)解析器和生成器。它可以将Java对象转换为JSON格式的字符串,并将JSON字符串转换为对应的Java对象。要下载fastjson-1.2.47,您可以按照以下步骤进行操作: 1. 打开一个网页浏览器,进入fastjson的官方下载页面。 2. 在页面上找到fastjson-1.2.47的下载链接,并单击它。 3. 选择您希望将fastjson-1.2.47下载到的位置。这可以是您的计算机上的任何文件夹或目录。 4. 单击“下载”按钮开始下载fastjson-1.2.47。 5. 等待下载完成。下载速度取决于您的互联网连接速度和下载文件的大小。 6. 下载完成后,在您选择的目标位置找到下载的fastjson-1.2.47文件。 7. 可能需要解压缩fastjson-1.2.47文件(如果下载的是压缩包)。您可以使用解压缩软件(如WinRAR或7-Zip)来执行此操作。 8. 现在,您可以在您的Java项目中使用fastjson-1.2.47了。将fastjson的JAR文件添加到您的项目构建路径中,并根据fastjson的文档或示例代码来使用它。 通过按照上述步骤下载并使用fastjson-1.2.47,您将能够在您的Java项目中轻松地解析和生成JSON数据。 ### 回答3: 要下载fastjson-1.2.47,可以按照以下步骤进行操作: 1. 打开浏览器,进入fastjson的官方网站。 2. 在网站的顶部导航栏或页面中找到“下载”选项,并点击进入下载页面。 3. 在下载页面中,找到fastjson-1.2.47版本的下载链接,一般会以类似于“Download JSON-1.2.47”的形式呈现。 4. 点击下载链接,浏览器将开始下载fastjson-1.2.47的压缩包(通常为zip或tar.gz格式)。 5. 下载完成后,解压缩该压缩包到指定的目录中。 6. 接下来,可以根据需要将fastjson-1.2.47导入到项目中。可以使用IDE,如Eclipse或IntelliJ IDEA,在项目中创建一个新的库,并将解压后的fastjson文件夹添加到该库中;或者直接将fastjson的jar文件添加到项目的classpath中。 7. 确保正确导入fastjson后,即可开始使用fastjson-1.2.47进行JSON数据的处理和操作。 总结:要下载fastjson-1.2.47,首先访问fastjson的官方网站,找到下载页面并下载该版本的压缩包。然后解压缩,并将其导入到项目中,即可开始使用fastjson-1.2.47
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值