fastjson反序列化漏洞(CVE-2017-18349)

最新推荐文章于 2024-11-20 10:13:55 发布
原创 最新推荐文章于 2024-11-20 10:13:55 发布 · 965 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全

本文分析了Fastjson库的序列化漏洞,展示了如何通过特定构造引发反序列化时的远程代码执行。涉及技术包括Java、JSON和安全漏洞利用。

文章目录

fastjson

fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自定义了一套序列化机制。

提供两个主要接口:

JSON.toJSONString 和 JSON.parseObject/JSON.parse 分别实现序列化和反序列化

序列化

"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串

User user = new User("John", "Doe", 30);
String jsonString = JSON.toJSONString(user);
System.out.println(jsonString);

假设User类具有以下属性和构造函数:

public class User {
   
   
    private String firstName;
    private String lastName;
    private int age;

    public User(String firstName, String lastName, int age) {
   
   
        this.firstName = firstName;
        this.lastName = lastName;
        this.age = age;
    }
最低0.47元/天 解锁文章
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6710
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Fastjson反序列化漏洞详解
zhuyi666的博客
03-13 3347
fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打包。速度快使用广泛测试完备使用简单功能完备JSON数据格式{"name":zy, "age":22, "flag":true, "gender":male, "address":cs}("key":value)
Fastjson反序列化漏洞
blackmagic的博客
08-09 1763
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
Fastjson 1.2.24 反序列化导致任意命令执行漏洞复现(CVE-2017-18349
Welcome To My6n Blog
03-09 5264
Fastjson 是一个 Java 库,用于在 Java 对象和 JSON 数据之间进行转换,它提供了一种简单而高效的方式来序列化 Java 对象为 JSON 格式的字符串,以及将 JSON 字符串反序列化为 Java 对象。Fastjson 支持各种类型的 Java 对象,包括预先存在但没有源代码的对象。
漏洞复现|CVE-2017-18349FastJson1.2.24反序列化导致任意命令执行漏洞
weixin_42282189的博客
09-13 2406
作者: 村里的小四 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责 0x01 前言 FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 0x02 影响范围 影响范围:Fastjson1.2.24及之前版本。 0x03 环境准备 3.1 目标环境 3.1.1 靶场环境 vulhub靶场环境:CVE-2017-18349 3.1.2 靶机: Ubuntu2.
漏洞复现】5. Fastjson 1.2.24反序列化漏洞CVE-2017-18349)复现
Zichel77的博客
03-21 2673
FastJson 库是 Java 的一个 Json 库,其作用是将 Java 对象转换成 json 数据来表示,也可以将 json 数据转换成 Java 对象,使用非常方便,号称是执行速度最快的库。在 1.2.24 版本的 Fastjson 出现了一个反序列化漏洞fastjson 在解析 json 的过程中,支持使用 autoType 来实例化某一个具体的类,并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1948
fastjson反序列化漏洞复现 CVE-2017-18349
Fastjson 反序列化漏洞(CVE-2017-18349)
qq_68163788的博客
06-19 1280
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
FastJson反序列化漏洞CVE-2017-18349
2301_76227305的博客
11-20 616
这个漏洞原理只要你把它搞懂了其实很简单的,不算难,而且无论什么版本的FastJson漏洞原理都是一样的。只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,搜一下payload即可。
Fastjson漏洞CVE-2017-18349
GalaxySpaceX的博客
05-20 1726
Fastjson漏洞CVE-2017-18349
fastjson1.2.24 反序列化导致任意命令执行漏洞CVE-2017-18349
1ance's blog
07-24 1857
CVE-2017-18349漏洞原理 漏洞原理
Fastjson 1.2.24 反序列化(CVE-2017-18349)漏洞复现
MD@@nr丫卡uer
12-28 1644
fastjson简介       fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 影响范围       fastjsonfastjson<=1.2.24 漏洞复现 使用vulhub cd /app/vulhub-20201028/fastjson/1.2
fastjson反序列化 CVE-2017-18349
zkaqlaoniao的博客
12-19 440
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。序列化 String json_ser = "{"@type":"com.company.Student","name":"jack"}";序列化 String json_ser2 = "{"name":"jack"}";
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349
Continuejww的博客
09-17 614
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 7081
fastjson 1.2.24 反序列化导致任意命令执行漏洞,可获得服务器root权限
fastjson反序列化漏洞
qq_73792226的博客
08-15 1102
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
fastjson反序列化漏洞涉及受影响的组件及版本,修复方法
最新发布
12-10
首先,用户的问题是:“我想查找fastjson反序列化漏洞涉及受影响的组件及版本,以及该漏洞的修复方法。请问fastjson反序列化漏洞受影响的组件和版本,以及fastjson反序列化漏洞的修复方法。” 从系统级指令中,我...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值