Fastjson 反序列化漏洞(CVE-2017-18349)

最新推荐文章于 2025-03-15 13:35:52 发布
原创 最新推荐文章于 2025-03-15 13:35:52 发布
· 1.1k 阅读 · 12 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #安全 #web安全 #网络安全 #fastjson #反序列化

目录

Fastjon介绍

序列化与反序列化

漏洞产生的原因

漏洞点测试

使用dnslog探测

反弹shell

这一篇是学习JAVA里面的fastjson 反序列化漏洞,这里还是参考别的师傅总结的文章进行学习

Fastjon介绍

Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。

Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。

 Fastjson 源码地址:

GitHub - alibaba/fastjson: FASTJSON 2.0.x has been released, faster and more secure, recommend you upgrade.

Fastjson 中文 Wiki:Quick Start CN · alibaba/fastjson Wiki · GitHub

序列化与反序列化

 Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。

demo:

package org.example;
import com.alibaba.fastjson.JSON;

public class Main {

    public static void main(String[] args) {
        // 将一个 Java 对象序列化为 JSON 字符串
        Person person = new Person("Alice", 18);
        String jsonString = JSON.toJSONString(person);
        System.out.println(jsonString);

        // 将一个 JSON 字符串反序列化为 Java 对象
        String jsonString2 = "{\"age\":20,\"name\":\"Bob\"}";
        Person person2 = JSON.parseObject(jsonString2, Person.class);
        System.out.println(person2.getName() + ", " + person2.getAge());
    }

    // 定义一个简单的 Java 类
    public static class Person {
        private String name;
        private int age;
最低0.47元/天 解锁文章
Java安全-Fastjson漏洞
m0_63138919的博客
03-28 4333
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349
Continuejww的博客
09-17 476
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
fastjson反序列化 CVE-2017-18349
zkaqlaoniao的博客
12-19 304
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。序列化 String json_ser = "{"@type":"com.company.Student","name":"jack"}";序列化 String json_ser2 = "{"name":"jack"}";
CVE-2017-18349靶场复现(Fastjson1.2.24-RCE)
最新发布
zjxxxy的博客
03-15 276
CVE-2017-18349靶场复现(Fastjson1.2.24-RCE)
Fastjson漏洞CVE-2017-18349
GalaxySpaceX的博客
05-20 1596
Fastjson漏洞CVE-2017-18349
fastjson反序列化漏洞(CVE-2017-18349)
网络空间安全学习
09-19 804
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。它没有用java的序列化机制,而是自定义了一套序列化机制。"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串。
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1820
fastjson反序列化漏洞复现 CVE-2017-18349
Fastjson反序列化漏洞
blackmagic的博客
08-09 1504
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
【jascon漏洞复现】CVE-2017-7525反序列化漏洞+CVE-2017-17485远程代码执行漏洞
serendipity1130的博客
09-01 2523
Jackson的漏洞主要集中在jackson-databind中,当启用Global default typing,类似于FastJson的autoType,会存在各种各样的反序列化绕过类 区分Fastjson和Jackson: {"name":"S","age":21} {"name":"S","age":21,"agsbdkjada__ss_d":123} 这两个fastjson都不会报错,而jackson会报错,因为Jackson因为强制key与javabean属性对齐,只能少不能多 ke.
Fastjson反序列化漏洞复现
aa1281047341的博客
08-21 192
Fastjson-1.2.47-rce-反序列化漏洞复现
漏洞复现|CVE-2017-18349FastJson1.2.24反序列化导致任意命令执行漏洞
weixin_42282189的博客
09-13 2233
作者: 村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责 0x01 前言 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 0x02 影响范围 影响范围:Fastjson1.2.24及之前版本。 0x03 环境准备 3.1 目标环境 3.1.1 靶场环境 vulhub靶场环境:CVE-2017-18349 3.1.2 靶机: Ubuntu2.
Fastjson 1.2.24 反序列化CVE-2017-18349
黑白的博客
11-23 3470
声明 好好学习,天天向上 漏洞描述 CVE-2017-18349,前台无回显RCE fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 影响范围 fastjson<=1.2.24 复现过程 这里使用1.2.24版本 使用vulhub cd /app/vulhub-20201028/fastjson/1.2.24-rce 使用docker启动 docker-compose
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349
Welcome To Myon'Blog !
03-09 4166
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
fastjson1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349
1ance's blog
07-24 1757
CVE-2017-18349漏洞原理 漏洞原理
Fastjson漏洞
qq_50854662的博客
10-09 6130
Fastjson漏洞
fastjson漏洞
m0_37180957的博客
05-30 545
对于最新版本的fastjson,是有漏洞的。 版本: com.alibaba fastjson 1.2.68 在序列化的过程中,是存在白名单漏洞的。具体需要关注一下反序列化的过程。 https://cert.360.cn/daily
Fastjson1.2.24(CVE-2017-18349)分析
鸣蜩十四的博客
09-02 1202
Fastjson在1.2.24版本之前存在两条利用链,分别是 1. JNDI com.sun.rowset.JdbcRowSetImpl 2. com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 我们本次也是对这两条链进行分析和过程复现
java反序列化漏洞复现
07-28
回答: 要复现Java反序列化漏洞,你需要了解具体的漏洞细节和利用方法。其中一种常见的Java反序列化漏洞Weblogic的CVE-2017-10271和CVE-2018-2628。这些漏洞可以通过构造恶意的序列化数据来执行任意代码。你可以参考相关的文章和工具来进行复现。例如,可以使用Weblogic的wls-wsat组件或Fastjson库中的漏洞来进行复现。请注意,在进行漏洞复现时,务必在合法的环境中进行,并遵守法律和道德规范。 #### 引用[.reference_title] - *1* [复现java反序列化漏洞的方法](https://blog.youkuaiyun.com/weixin_47623655/article/details/129866121)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [JAVA反序列化系列漏洞复现](https://blog.youkuaiyun.com/qq_36119192/article/details/90716180)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

未知百分百

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值