【vulhub】Fastjson1.2.24反序列化导致任意命令执行漏洞复现
💡
原文中文,约4800字,阅读约需12分钟。
📝
内容提要
fastjson是阿里巴巴开源的Java JSON解析库,存在自动类型转换漏洞,攻击者可利用该漏洞执行任意代码。受影响版本为fastjson<=1.2.24,攻击者可通过特定请求实现远程代码执行。
🎯
关键要点
- fastjson是阿里巴巴开源的Java JSON解析库,存在自动类型转换漏洞。
- 受影响版本为fastjson<=1.2.24,攻击者可通过特定请求实现远程代码执行。
- fastjson用于在Java和JSON数据之间进行转换,支持序列化和反序列化。
- 漏洞原理在于未对JSON内容进行验证,直接将其解析为Java对象并执行。
- 攻击者可构造payload,利用autoType功能实现代码执行。
- 漏洞复现环境为vulhub_centos7,使用curl命令可验证漏洞存在。
- 安装Maven和反序列化工具marshalsec以进行漏洞利用。
- 通过构建RMI或LDAP服务器,攻击者可以实现远程代码执行。
- 构造payload时需注意请求方法和Content-Type的设置。
- 可以通过DNS记录监控漏洞利用情况。
➡️
