https://www.anquanke.com/post/id/239867使用marshalsec 创建恶意RMI服务注意:此RMI服务不在目标主机上,在搭建了文件服务器的主机上。 (当然,它也可以在其他机器中,只要各个机器可以互相访问)RMI: Remote Method Invocation,远程方法调用。RMI服务器类似以前的电话转接员,用于转接服务器的特定请求。此处需要用到一些其他知识
原创
2022-04-20 14:01:14
308阅读
1、漏洞概述近日,Fastjson Develop Team发布安全公告,修复了一个存在于Fastjson1.2.80及之前版本中的反序列化漏洞。Fastjson是一个由Java语言编写的高性能JSON库,它采用名为“假定有序快速匹配”的算法将JSON Parse的性能提升到极致。由于Fastjson接口简单易用,目前已被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场
原创
2022-11-01 16:03:44
288阅读
作者:Longofo@知道创宇404实验室时间:2020年4月27日原文地址:https://paper.seebug.org/1192/英文版本:https://paper.seebug.org/1193/Fastjson没有cve编号,不太好查找时间线,一开始也不知道咋写,不过还是慢慢写出点东西,幸好fastjson开源以及有师傅们的一路辛勤记录。文中将给出与Fastjson漏洞相关的比较关键
原创
2020-05-12 14:20:41
3868阅读
点赞
http://www.cnblogs.com/mrchang/p/6789060.html
转载
2017-05-15 09:49:13
2130阅读
近日Fastjson Develop Team 发现 fastjson 1.2.80及以下存在新的风险,存在反序列化漏洞。攻击者可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大,请大家关注。 目前JNPF官方已完成修复,故在此建议诸位JNPF用户应尽快修复。修复方案航天筑梦科技兴国微服务版修改jnpf-java-cloud\pom.xml文件中的,fastjson.ver
转载
2023-07-11 16:57:43
66阅读
关于漏洞fastjson 的这个新漏洞在 1.2.68 及之前版本的 autotype 关闭的情况下仍然可以绕过限制反序列化,相比 1.2.47 版本的漏洞来讲这个版本的漏洞还是有一些限制的(关于 1.2.47 漏洞可以参考我的另一篇文章《Java 反序列化漏洞始末(3)— fastjson》[1]),例如 1.2.47 是可以绕过黑名单的限制的,而这个漏洞则无法绕过黑名单,并且需要类实现 Aut
转载
2024-01-17 12:59:46
149阅读
最近,亚信安全CERT监控到Fastjson的漏洞,下面是具体的描述。亚信安全CERT监控
原创
2022-12-16 19:47:16
120阅读
Fastjson反序列化漏洞利用分析背景在推动Fastjson组件升级的过程中遇到一些问题,为帮助业务同学理解漏洞危害,下文将从整体上对其漏洞原理及利用方式做归纳总结,主要是一些概述性和原理上的东西。漏洞原理多个版本的Fastjson组件在反序列化不可信数据时会导致代码执行。究其原因,首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其
转载
2021-05-07 13:10:54
872阅读
2评论
一、概述 fastjson自2017年爆出序列化漏洞以来,漏洞就一直停不下来。本次主要研究2017年第一次爆出反序列化漏洞。 二、漏洞复现 首先在本机简单进行下漏洞复现。 创建Poc类 该类为最终触发利用代码的类,因为是通过JAVA RMI方式读取,所以该类需继承UnicastRemoteObjec ...
转载
2021-10-27 09:33:00
647阅读
一、什么是序列化/序列化? 序列化主要使用场景:持久化内存数据网络传输对象远程方法调用(RMI)二、什么是Fastjson?fastjson介绍:fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。FastJson是啊里巴巴的的开源库,用与对JSON格式的数据进行解析和打
转载
2023-09-05 12:50:54
16阅读
走进fastjson我们先通过官方文档来了解一下fastjson是一个什么东西?fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson相对其他JSON库的特点是快,从2011年fastjson发布1.1.x版本之后,其性能从未被其他Java实现的JSON库超越
转载
2024-01-26 21:01:29
219阅读
0x01 前言FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执
转载
2023-11-30 17:14:56
162阅读
0x00:Fastjson简介Fastjson 是阿里巴巴开源的一个 Java 的 JSON 解析库。它提供了快速、高效、简洁的 JSON 解析功能。Fastjson 不仅支持常见的 JSON 数据类型(如字符串、数字、布尔值、数组、对象等),还支持 Java 原生数据类型(如整型、浮点型、数组、集合等)与 JSON 之间的互相转换。Fastjson 支持通过注解和 API 自定义 JSON 序列
转载
2023-10-20 22:54:27
5阅读
fastjson =< 1.2.47 反序列化漏洞浅析 iiusky 洛米唯熊 今天 作者:iiusky #poc {"name":{"@type":"j
转载
2021-07-16 10:48:26
5790阅读
漏洞简介序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。 反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。反序列化漏洞首次出现在2015。虽然漏洞较新,但利用十分热门,主要原因还是太过信任客户端提交的
转载
2023-07-01 19:22:31
228阅读
文章目录反序列化漏洞一、概述1. 序列化和反序列化2. 序列化的目的二、PHP中的序列化与反序列化1. 概述2. 示例序列化与反序列化3. 反序列化漏洞- PHP中的魔术方法- Typecho_v1.0中的反序列化漏洞 反序列化漏洞一、概述1. 序列化和反序列化序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久
转载
2023-12-06 23:26:17
63阅读
PHP反序列化漏洞复现测试代码 我们运行以上代码文件,来证明函数被调用: 应为没有创建对象,所以构造函数__construct()不会被调用,但是__wakeup()跟__destruct()函数都被调用,如果这些函数里面包含的是恶意代码会怎么样呢?利用场景__wakeup() 或__destruct()由前可以看到,unserialize(
转载
2024-05-10 10:41:07
87阅读
1 java反序列化简介java反序列化是近些年安全业界研究的重点领域之一,在Apache Commons Collections 、JBoss 、WebLogic 等常见容器、库中均发现有该类漏洞,而且该类型漏洞容易利用,造成的破坏很大,因此影响广泛。在本文中将先介绍java反序列化漏洞的原理,然后在此基础上介绍安全工具如何检测、扫描此类漏洞。1.1 什么是反序列化
转载
2024-02-22 14:04:24
111阅读
目录1 工具下载2 依赖环境安装3 使用 1 工具下载shiro反序列化漏洞综合利用工具v2.2下载其他工具下载 除了该工具之外,github上还有其他大佬贡献的各种工具,有许多python编写的工具,功能简单,可以作为理解shiro漏洞原理并编写自己工具的教材。2 依赖环境安装说明:shiro反序列化漏洞综合利用工具v2.2是采用java编写的,需要使用java8环境来解析下载java8环境:
转载
2023-12-19 08:56:04
32阅读
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化 :unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识weblogic反序列化漏洞该漏洞挖掘较难。与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。=== 【比较 数值相等、类型相等】== 【比较,数值相等】= 【赋值 赋予数值】=> 【键值分离】-> 【
转载
2024-01-11 23:36:58
60阅读
