FastJson反序列化2-1.2.24漏洞利用】的更多相关文章

环境搭建: 漏洞影响版本: fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常访问页面返回hello,world~ 此时抓包修改content-type为json格式,并post payload,即可执行rce 此时就能够创建success文件 前置知识: 研究这个漏洞之前,先熟悉一下阿里的这个fastjson库的基本用法 package m…
重要漏洞利用poc及版本 我是从github上的参考中直接copy的exp,这个类就是要注入的类 import java.lang.Runtime; import java.lang.Process; public class Exploit { public Exploit() { try{ // 要执行的命令 String commands = "calc.exe"; Process pc = Runtime.getRuntime().exec(commands); pc.wait…
Fastjson反序列化漏洞分析 1.2.22-1.2.24 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作. 环境 Tomcat 8.5.56 org.apache.tomcat.embed 8.5.58 fastjson 1.2.24 漏洞版本: fastjson 1.2.…
0. 前言 记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题. 1. TemplatesImpl的利用链 关于 parse 和 parseObject FastJson中的 parse() 和 parseObject()方法都可以用来将JSON字符串反序列化成Java对象,parseObject() 本质上也是调用 parse() 进行反序列化的.但是 parseObject() 会额外的将Java对象转为 JSONObject对象,即 JSON.toJSON().所以进行反序…
fastjson反序列化rce实际案例利用全过程: 存在问题网站:http://***.com/ 在网站上寻找一些安全漏洞的时候,发现一条json数据包 数据包如下: POST /*** HTTP/1.1 Host: *** Connection: close Content-Length: 100 Accept: application/json, text/plain, */* Content-Type: application/json;charset=UTF-8 Referer: * A…
比赛遇到了,一直没利用成功,这里做个记录. 环境搭建 首先用 vulhub 搭建 fastjson 的漏洞环境. 漏洞环境程序的逻辑为接收 body 的数据然后用 fastjson 解析. 漏洞利用 首先我们需要确认是否存在漏洞,可以采取让服务器发请求到我们的公网 vps POST / HTTP/1.1 Host: 192.168.245.128:8080 Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1…
Fastjson反序列化漏洞复现 0x00 前言 对Fastjson反序列化漏洞进行复现. 0x01 漏洞环境 靶机环境:vulhub-fastjson-1.2.24 ip:172.16.10.18 端口:8090 攻击机环境:kali,ip:192.168.82.130 0x02 漏洞利用 (1)首先使用docker起一个fastjson反序列化漏洞环境: 访问环境页面如下: (2)RMI利用方式 先编写好攻击脚本,反弹shell到kali上: public class Exploit { p…
Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础.利于后面的漏洞分析. 0x01 Fastjson使用 在分析漏洞前,还需要学习一些Fastjson库的简单使用. Fastjson概述 FastJson是啊里巴巴的的开源库,用于对JSON格式的数据进行解析和打包.其实简单的来说就是处理json格式的数据的.例如将json转换成一个类.或者是将一个类转换成一段json数据.在我前面的学习…
fastjson 1.2.24反序列化漏洞复现 先写一个正常的使用 fastjson的web服务 我们使用 springboot创建 主要是pom.xml 里面要添加fastjson fastjson要求小于等于 1.2.24 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.23</version…
Fastjson 简介 fastjson框架:https://github.com/alibaba/fastjson fastjson-jndi:https://github.com/earayu/fastjson_jndi_poc fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换.它没有用java的序列化机制,而是自定义了一套序列化机制. 提供两个主要接口: JSON.toJSONString 和 JSO…