fastjson反序列化漏洞

发表于2022-10-12|渗透测试漏洞复现

|总字数:494|浏览量:

验证网站是否存在fastjson漏洞的方法~~

一、fastjson简介

fastjson是java的一个库，可以使java对象和json格式的字符串相互转换。序列化是将java对象转为为json格式的字符串，反序列化就是将json格式的字符串转为java对象。

二、漏洞简介

fastjson在解析json的过程中，会自动调用@type指定类的set/get方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

三、漏洞详情

组件名称：fastjson

影响版本：fastjson<=1.2.80

漏洞类型：远程任意代码执行

四、漏洞探测

1、根据返回包判断

任意抓包，将提交方式改为POST。返回包就会出现fastjson字样。

2、修改请求包

用burp抓包，将发送方式改为post，更改类型为json，添加json格式的字符串，可以看到返回包中成功了。

POST

Content-Type: application/json

{
"age":25,
"name":"Bl2e"
}

3、利用dnslog平台

修改请求包，将GET方法改为POST，更改类型为json，添加json格式的字符串：

POST

Content-Type: application/json

{"zeo":{"@type":"java.net.Inet4Address","val":"6xyymf.dnslog.cn"}}  //val替换成自己获取到的dnslog

发送之后，在dnslog平台上refresh record 可以成功得到值，说明存在漏洞。

4、利用burp插件

burp插件下载：https://github.com/Maskhe/FastjsonScan/releases

注意：该插件只检测传输ison数据格式的数据包，所以数据包中如果没有ison数据需要自行添加。发送无json数据的数据包会提示not supported 不会开始检测。

抓包修改为以POST方式请求，添加ison格式的数据，右键发送给插件。

插件成功识别，开始检测漏洞。如果存在漏洞，会在request请求包中显示payload。如果没有漏洞，会展示原始的请求与响应。

文章作者: echozt

文章链接: https://echozt.github.io/posts/4554.html

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 echozt！

框架漏洞反序列化 fastjson

相关推荐

Apache Shiro 1.2.4反序列化漏洞

前几天复现了一下墨者平台的shiro靶场，本篇文章用的是工具检测的~~ 1、漏洞简述Shiro默认使用了CookieRememberMeManager, 其处理cookie的流程是: 得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化.然而AES的密钥是硬编码的, 密钥泄漏的根本原因是开发人员在开发过程中部分代码直接使用了网上的一些开源的项目代码，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 2、影响版本Apache Shiro <= 1.2.4 3、Shiro框架识别(1)请求包的cookie中存在rememberMe字段。 (2)返回包中存在set-Cookie：remeberMe=deleteMe。 (3)请求包中存在rememberMe=x时，响应包中存在rememberMe=deleteMe。（有时候服务器不会主动返回remeberMe=deleteMe，直接发包即可，将Cookie内容改为remember...

Apache Struts2远程代码执行漏洞(S2-015)

复现的是墨者的Apache Struts2的靶场，用了两种方式，手工和工具检测~~ 漏洞简介：开源应用框架Apache Struts存在远程代码执行漏洞（CVE-2021-31805），攻击者可构造恶意的OGNL表达式触发漏洞，实现远程代码执行。特征：查看被测应用系统的源码，URL 接口地址以 “.action” “.do” 结尾或地址中包含“!”符号，或者在被测应用的服务器上查看应用所在目录/WEB-INF/lib/下的 jar 文件，若存在 struts2-core-2..**.jar 或 xwork-core- 2..**.jar 格式的 jar 文件，则需检测是否存在 Struts2 远程代码执行漏洞。受影响版本为：Apache Struts...

Apache Struts2远程代码执行漏洞(S2-016)

复现的是墨者的Apache Struts2的靶场，用的工具检测~~ 原理：问题主要出在对于特殊URL处理中，redirect与redirectAction后面跟上OGNL表达式会被服务器执行。漏洞原因：action的值redirect和redirectAction没有正确过滤，导致可以执行任意代码，如系统命令、上传、下载文件等。 Struts2的DefaultActionMapper支持一种方法，可以使用”action:”, “redirect:” , “redirectAction:”对输入信息进行处理，从而改变前缀参数，这样操作的目的是方便表单中的操作。在2.3.15.1版本以前的struts2中，没有对”action:”, “redirect:” , “redirectAction:”等进行处理，导致ongl表达式可以被执行。影响版本：Struts 2.0.0 –...

log4j2代码执行漏洞

验证网站是否存在log4j2漏洞的方法~~ 一、描述 log4j2是一个基于Java的日志记录框架。在大多数情况下，开发者可能会将用户输入导致的错误信息写入日志中。只要日志内容中包含关键词 ${，那么这里面包含的内容就可以作为变量进行替换，攻击者无需任何权限，可以执行任意命令。二、验证漏洞是否存在这里我使用的是vulfocus平台上面的一个log4j2的靶场方法一：dnslog验证1、先通过dnslog获得一个域名构造poc： 1${jndi:ldap://o8ll0b.dnslog.cn} 2、用url方式提交payload参数构造payload：换成url形式： 1payload=%24%7b%6a%6e%64%69%3a%6c%64%61%70%3a%2f%2f%6f%38%6c%6c%30%62%2e%64%6e%73%6c%6f%67%2e%63%6e%7d 3、回到dnslog refresh...

weblogic SSRF漏洞

关于weblogic的ssrf漏洞验证~~ 00x1漏洞描述 weblogic中存在SSRF漏洞，利用该漏洞可以发送任意HTTP请求，进而攻击内网中redis、fastcgi等脆弱组件。 00x2 影响版本 weblogic 10.0.2-10.3.6版本 00x3 漏洞复现这里使用的是vulfocus[https://vulfocus.cn/#/dashboard]的weblogic靶场。启动靶场，是404的环境，我刚开始还以为是环境没加载出来，原来可以直接访问uddiexplorer应用。 1访问：http://ip:端口/uddiexplorer/，无需登录即可查看uddiexplorer应用。漏洞存在于search public...

数据加载中