Fastjson反序列化漏洞(靶场搭建复现)

最新推荐文章于 2026-06-12 14:16:59 发布
原创 最新推荐文章于 2026-06-12 14:16:59 发布 · 1.9k 阅读 · 4
标签
#安全 #服务器
本文介绍了Fastjson的autotype功能引发的安全漏洞,详细描述了漏洞原理、Fastjson1.2.47版本的弱点,并指导如何搭建Fastjson反序列化漏洞靶场,以及如何利用该漏洞进行攻击,包括使用burpsuite抓包和构造payload。

Fastjson概念

fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

漏洞的原理

首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。

漏洞影响:

 Fastjson1.2.47以及之前的版本

搭建靶场

vulhub中有fastjson反序列化漏洞的靶场,怎样搭建velhub请参考

centos7搭建和使用vulhub全过程--图文_centos7搭建vulstudy-CSDN博客

我这边在centos7上边搭建,各位看自己习惯

开启靶场

进入到fastjson反序列化漏洞目录

使用命令开启靶场:docker-compose up -d

如图靶场开启成功

使用命令docker-compose ps查看靶场端口

访问ip+端口

靶场搭建成功

搭建攻击环境

要是在kali中搭建攻击环境的话,需要先卸载自带的Java环境

# 查看安装的OpenJDK包

dpkg --list | grep -i jdk

# 卸载OpenJDK相关包

apt-get purge openjdk-*

再次运行dpkg --list | grep

最低0.47元/天 解锁文章
白鲨6
关注
反序列化渗透与攻防()Fastjson反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-15 857
是一个阿里巴巴开源的一款使用Java语言编写的高性能功能完善的JSON库,通常被用于将Java Bean和JSON 字符串之间进行转换。它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到极致,是目前Java语言中最快的JSON库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。但是,从诞生之初,fastjson就多次被爆出存在反序列化漏洞。并且,每次都和autoType有关!那么,什么是autoType呢?
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2481
Fastjson反序列化漏洞复现
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6763
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Fastjson【RCE1.2.47】漏洞原理与实战攻防剖析
weixin_28688385的博客
05-18 353
本文深度剖析Fastjson 1.2.47版本的反序列化漏洞(RCE)原理与攻防实践,详细讲解该漏洞如何通过JNDI注入实现远程代码执行,并提供漏洞复现的完整攻击链。文章涵盖靶场搭建、分步验证技巧及企业级防御方案,帮助开发者理解漏洞本质并实施有效防护措施。
fastjson反序列化漏洞复现
weixin_58954236的博客
09-11 1703
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 4万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 7372
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
Fastjson反序列化漏洞实战:如何用Docker快速搭建Vulhub靶场复现漏洞
weixin_30832143的博客
03-30 363
本文详细介绍了Fastjson反序列化漏洞的实战复现方法,包括使用Docker快速搭建Vulhub靶场环境、漏洞原理分析及攻击流程演示。通过具体步骤指导读者如何构建恶意RMI服务、构造攻击载荷并验证漏洞利用效果,同时提供防护方案与最佳实践建议。
Fastjson漏洞实战:从零搭建靶场复现1.2.24反序列化漏洞(附避坑指南)
honey的博客
02-13 643
本文深入解析Fastjson 1.2.24反序列化漏洞(CVE-2017-18349),提供从靶场搭建漏洞复现的完整实战指南。通过详细的环境配置、工具链准备和分步复现流程,帮助安全研究人员掌握该高危漏洞的利用原理与防御方案,特别包含JDK版本兼容性等常见问题的避坑技巧。
不止于搭建:用Vulhub靶场复现Fastjson漏洞的完整实战记录
weixin_33682790的博客
04-26 439
本文详细介绍了如何利用Vulhub靶场复现Fastjson 1.2.47反序列化漏洞的完整实战过程,从环境搭建漏洞验证,再到防御方案和进阶研究。通过实战演练,帮助安全研究人员深入理解漏洞原理,提升技术实力。
保姆级教程:手把手搭建Java靶场(JshERP 2.3)并复现Fastjson+MySQL JDBC反序列化漏洞
最新发布
weixin_31648507的博客
06-12 248
本文提供了一份详细的Java靶场搭建教程,重点讲解如何利用Fastjson反序列化漏洞结合MySQL JDBC驱动进行安全测试。从环境配置、项目部署到漏洞复现,逐步指导安全研究人员完成实战演练,并给出防御建议与安全加固方案。
fastjson反序列化漏洞
qq_56426046的博客
11-20 7262
在这个示例程序中先是构造了⼀个恶意类,然后调⽤toJSONString⽅法序列化对象写⼊@type,将 @type指定为⼀个恶意的类TestTempletaHello的类全名,当调⽤parse⽅法对TestTempletaHello类进⾏ 反序列化时,会调⽤恶意类的构造⽅法创建实例对象,因此恶意类TestTempletaHello中的静态代码块中 就会被执⾏。fastjson在解析json的过程中,⽀持使⽤autoType来实例化某⼀个具体的类,并调⽤该类的set/get⽅法 来访问属性。
fastjson反序列化漏洞学习()
一剑开天门!的博客
02-10 4312
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
Fastjson反序列化
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
Fastjson靶场
王嘟嘟的博客
02-14 1267
花了一点时间,搞了一个Fastjson靶场,主要目的是为了测试payload,以及方便后来者做一些练习。
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 6200
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
别再只盯着vulhub了!用Docker Desktop+IDEA本地调试Fastjson 1.2.24反序列化漏洞
weixin_33675507的博客
05-04 460
本文详细介绍了如何使用Docker Desktop和IDEA本地调试Fastjson 1.2.24反序列化漏洞,提供从环境搭建漏洞调试的全流程指南。通过容器化漏洞环境和IDEA远程调试配置,开发者无需复杂环境即可深入分析漏洞原理与利用链,提升安全研究效率。
Fastjson反序列化漏洞原理及漏洞复现
weixin_46263525的博客
04-04 2152
Fastjson反序列化漏洞原理及反弹shell利用
漏洞复现Fastjson反序列化
网络安全知识分享
12-31 6234
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2、fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值