web安全渗透测试十大常规项（一）：web渗透测试之Fastjson反序列化

HACKNOE

已于 2024-06-29 19:57:46 修改

阅读量505

点赞数 4

CC 4.0 BY-SA版权

分类专栏： Web渗透测试基础实验室文章标签： web安全 java 网络安全

于 2024-06-29 11:32:49 首次发布

本文链接：https://blog.csdn.net/qq_43422402/article/details/139903452

Web渗透测试基础实验室专栏收录该内容

21 篇文章 ¥29.90 ¥99.00

订阅专栏

超级会员免费看

渗透测试之Java反序列化

1. Fastjson反序列化

1. Fastjson反序列化

在这里插入图片描述

1.1 FastJson反序列化链知识点

1、为什么触发方法会存在反序列化？
2、利用链为什么要那样写才能触发？
3、高版本中有哪些防御手段又怎么绕过的？

1.2 FastJson反序列化链分析

基础参考：

https://xz

了解本专栏

订阅专栏解锁全文

超级会员免费看

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

HACKNOE

关注关注

4
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
打赏
打赏
打赏举报

举报

专栏目录

订阅专栏

web安全渗透测试十大常规项（一）：web渗透测试之PHP反序列化

HACKONE的博客

06-16

927

POP：面向属性编程（Property-Oriented Programing）常用于上层语言构造特定调用链的方法，序列化攻击都在PHP魔术方法中出现可利用的漏洞，因自动调用触发漏洞，但如关键代码没在魔术方法中，而是在一个类的普通方法中。漏洞危害：如存在__wakeup方法，调用unserilize()方法前则先调用__wakeup方法，但序列化字符串中表示对象属性个数的值大于真实属性个数时会跳过__wakeup执行。__isset(): //在不可访问的属性上调用isset()或empty()触发。

web安全渗透测试十大常规项（一）：web渗透测试之JAVA反序列化

HACKONE的博客

06-16

243

而反序列化是将字节流转换成Java对象的过程，java序列化的数据一般会以标记(ac ed 00 05)开头，base64编码的特征为rO0AB，JAVA常见的序列化和反序列化的方法有JAVA 原生序列化和JSON 类（fastjson、jackson）序列化等。-SnakeYaml：完整的YAML1.1规范Processor，支持Java对象的序列化/反序列化。#Java安全-反序列化-原生序列化类函数。2、泄漏安全（配置密码，AK/SK等）3、漏洞安全（利用类，CVE漏洞等）0、黑盒发现（流量捕获）

参与评论您还未登录，请先登录后发表或查看评论

FastJson中AutoType反序列化漏洞

qq_53058639的博客

02-20

1750

在Fastjson

fastjson反序列化漏洞测试方法

qq_43143133的博客

07-20

1020

快速判断fastjson与jackson

渗透测试 | FastJson漏洞原理与复现

m0_60571990的博客

03-09

1511

渗透测试 | FastJson漏洞原理与复现

渗透测试-Fastjson各版本漏洞分析（下）

cdyunaq的博客

04-18

4285

- fastjson 1.2.45 - 1.2.44中对[进行了判断，我们用1.2.43的POC，然后下个JSONException的异常断点，看看是怎么判断的运行后，在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String, java.lang.Class, int)成功拦截分析一下，发现如果开头是[就直接抛出异常那再看看1.2.41里面的绕法呢，前面加个L，后面加个;，发现会检查结尾是否为;，是的话

网络安全渗透测试——名词解释

weixin_43778463的博客

10-12

3939

常用术语解释

【WEB篇】网络安全面试

大河之犬的博客

04-08

1537

文件包含是指在程序编写过程中，为了减少重复的代码编写操作，将重复的代码采取从外部引入的方式，但如果包含被攻击者所控制，就可以通过包含精心构造的脚本文件来获取控制权，一般分为本地包含和远程包含，文件读取和文件包含类似，区别是文件读取无法被执行，只能查看文件。攻击者修改目标的host头将密码重置链接的域名修改为自己的域名，邮件还是发送到受害者的邮箱,如果受害者没注意的话点击链接，攻击者控制的网站的记录中可以查看到请求记录，然后在拼接成正确的域名即可实现任意用户密码重置。

渗透测试面试常见问题总结3

fingue的博客

03-18

940

【代码】渗透测试面试常见问题总结（连更七天）Day3。

【渗透测试】Fastjson 反序列化漏洞原理（二）

最新发布

一个偶尔更新，有点神经质的开发人员，专注于网络安全和人工智能应用领域。

03-25

881

RMI（Remote Method Invocation，远程方法调用）是 Java 提供的一种机制，用于在分布式系统中调用远程对象的方法。RMI 使用 Java 对象序列化和反序列化来传递数据。客户端通过 RMI 接口调用远程服务器上的方法。远程对象的引用可以通过 RMI 注册表（Registry）获取。

fastjson反序列化分析

qq_50854662的博客

10-13

459

fastjson反序列化分析

FastJson反序列化分析

m0_49443776的博客

11-19

4298

本文主要针对FastJson的反序列化过程进行详细分析，以及poc案例分析，留作学习笔记，以供日后复习

FastJSON、Jackson、Gson性能测试

qq_64513388的博客

11-27

1981

起因是公司原先用的是阿里开源的FastJSON，大家用的也比较顺手，但是在出现了两次严重的漏洞后，公司决定放弃FastJSON，使用其他序列化/反序列化工具。考虑大家常用的无非就是FastJSON、Jackson和Gson这三种，因此领导让我调研一下到底是使用Gson还是Jackson。关于漏洞这里我多说一句，建议大家还真得把这个事情当一个事情。我之前就被漏洞坑了一把，在一台linux服务器上部署了6.5版本的confluence，后来阿里云也发紧急通知了，告知赶紧升级，然而我并没有当一回事，过了没两天

fastjson 反序列化测试

yuming的专栏

06-04

294

最近在分析Java服务性能时，发现在处理数据时大量解析JSON占用的CPU资源比较大，想看看不同方法之间是否有性能上的差异。编写了一小段代码测试，对比结果基本没有差别。 fastjson库版本和引用如下： <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> ...

weixin_39875192的博客

11-30

2337

背景上个月天天打游戏一直没更文，也没啥研究成果，这次就随便发点小技巧。没有技术含量，但在某些场景下也是可以运用得到。目前来看是可以影响到最新版本(1.2.73)的。细节之前在找 fastjson 漏洞时看了很多可能存在问题的代码。其中就包括 JavaBeanDeserializer 类。该类有一处值得关注的代码如下图。这里在某个条件成立后就会抛出一个异常。异常的 message 会把当前...

fastjson 序列化不包括转义字符_Fastjson 反序列化漏洞自动化检测

weixin_39542936的博客

10-24

489

fastjson 是 java 中常用的一个用来序列化反序列化 JSON 数据的库。因其优异的性能表现，在 java web 开放中应用比较广泛。最近需要写一个 fastjson 的检测插件，稍微研究了一下后，感觉有一个比较不错的检测方法，在这里和大家分享下。在文章开始之前我想说明一点这里介绍的是检测方法而不是利用方法。这是两个不同的目标实现这两个目标需要考虑的细节也是不同的。在做漏洞检测时尤其是...

反序列化利用工具_Fastjson反序列化漏洞的检测和利用

weixin_30758169的博客

01-27

4890

Fastjson是Alibaba开发的，Java语言编写的高性能Json库，号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多，本文仅分享如何快速发现Fastjson反序列化漏洞，方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用，否则后果自负，与作者无关。0x01反序列化原理Fastjson反序列化，...

fastjson反序列化攻防

公众号shadow sock7

03-25

6853

<=1.2.24 JNDI注入利用链(com.sun.rowset.JdbcRowSetImpl) 按照这张图里的描述：使用JdbcRowSetImpl类作为目标类，根据PoC中指定的属性dataSourceName和autoCommit，到时候应该会调用setDataSourceName。 PoC内容如下： package com.cqq; import com.alibaba.fa...

掌握marshalsec-0.0.3-SNAPSHOT-all：Java反序列化工具详解

资源摘要信息:"Java反序列化利用工具marshalsec-...使用marshalsec这类工具是检验和提高Java应用安全性的有效手段之一，但最终的目标是通过代码安全审核、漏洞扫描和安全编码实践，从根本上避免反序列化漏洞的产生。