【FastJson1.2.24反序列化漏洞代码分析】

已于 2022-08-21 10:50:15 修改
阅读量1k 收藏 3
点赞数 1
分类专栏: 代码分析 文章标签: web安全
于 2022-07-24 03:25:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BigBirdSecurity/article/details/125952831
版权

第一章 fastjson1.2.24反序列化漏洞原理代码分析

@ author 鸿鸟安全 ->书到用时方恨少

文章目录

前言

       FastJson漏洞代码分析,为了对漏洞理解更深入,也是为以后挖掘通用漏洞作铺垫,提升代码审计能力,积累更多的知识。

一、FastJson

       FastJson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库,对标Google的Gson。

优点:

  • 速度快
  • 使用广泛
  • 使用简单

二、FastJson使用

1.maven工程直接引用jar

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>版本根据自己需要</version>
</dependency>

三、漏洞环境搭建


1.Idea新建maven工程的文件结构


在这里插入图片描述

2.pom.xml引入fastjson1.2.24jar包

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.fastjson</groupId>
    <artifactId>fastajson</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
        </dependency>
    </dependencies>

    <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
    </properties>

</project>

3.新建Person类

先在Java目录下新建包com.trancers.test,然后在包中新建Person

package com.trancers.test;

import java.io.IOException;

public class Person {
    private String name;
    private Integer age;


    public String getName() {
        System.out.println("call getname");
        return name;
    }

    public void setName(String name) throws IOException {
        System.out.println("call setname");
        Runtime.getRuntime().exec(name);
        this.name = name;
    }

    public Integer getAge() {
        System.out.println("call getage");
        return age;
    }

    public void setAge(Integer age) {
        System.out.println("call setage");
        this.age = age;
    }
}

3.新建主函数TestMain

  1. 构造简单的payload,下面看一下调用过程
package com.trancers.test;
import com.alibaba.fastjson.JSONObject;


public class TestMain {
    public static void main(String[] args) {
        String str = "{\"@type\":\"com.trancers.test.Person\",\"age\":20,\"name\":\"calc\"}";

        Object obj1 = JSONObject.parse(str);
        System.out.println(obj1);
    }
}
  1. 首先进入JONObject类调用parse方法

在这里插入图片描述

  1. 调用静态parse同名方法传入testDEFAULT_PARSER_FEATURE两个参数

在这里插入图片描述

  1. DEFAULT_PARSER_FEATURE在加载JSON类同时加载静态代码块计算出数值989

在这里插入图片描述

  1. 创建一个DefaultJSONParser对象将JSONToken.LBRACE赋值给((JSONLexerBase) lexer).token

在这里插入图片描述

  1. 看一下parser属性包含哪些,然后调用parse方法

在这里插入图片描述

  1. 方法里做了一个判断之前在上个方法中已经赋值lexer.token所以会走到LBRACE

在这里插入图片描述

  1. 创建了一个hashmap对象

在这里插入图片描述在这里插入图片描述

  1. 调用parseObject方法

在这里插入图片描述

  1. 做词法分析取出key值,及key对应value值

在这里插入图片描述

  1. 因为@type走进了这个判断里,执行了类反射,@type值又是包的路径所以根据com.trancers.test.Person直接去加载类

在这里插入图片描述
在这里插入图片描述

  1. 然后进行序列化操作,取出类的所有属性,以及传入的text进行匹配,类的属性名与key值相同进行赋值。

在这里插入图片描述

四、总结

简单分析一下fastjson反序列化漏洞的成因、调用过程和触发点。

在这里插入图片描述

鸿鸟安全团队
关注
专栏目录
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1303
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4601
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
【Java代码审计】Fastjson1.2.24漏洞分析
网络安全从业者的学习笔记
04-03 452
Fastjson是由阿里巴巴研发的一个java库,用来实现Java对象转换JSON格式以及JSON字符串转换为对象。 在Fastjson
pom.xml常用依赖
最新发布
m0_63536091的博客
09-19 1778
此外 当datatype为text时注意:需要解决ajax返回的数据有空格和换行的问题 否者比对字符串相等方法永远为false 2.mybatis依赖 3.jsp servlet依赖 4.jstl 依赖 1.在JSP页面头部使用<%@ taglib %>引入标签库: 5.jquery引入 引入jquery 6.德鲁伊连接池 7.引入axios 8.新maven项目改为war打包后运行报错Cannot access defaults field of Properties的问题 在pom.xml文件
Fastjson源码分析1.2.24漏洞分析
qq_45854465的博客
12-23 2806
2021SC@SDUSC 前面的文章中已经分析Fastjson反序列化的相关代码,涉及的方面很多、覆盖面也很全。可以看到,Fastjson是一款非常好的Json字符串反序列化工具,高效、简洁、无依赖、可定制。然而,高效的Json解析也给它带来了风险,最大的问题莫过于几年前爆出的1.2.24版本的远程代码执行漏洞,该漏洞现在已经修复,本篇文章将分析这个漏洞产生的原因,复现方式以及解决方案,还尝试从工具开发者的角度探讨如何避免此类漏洞的发生。 目录漏洞复现产生原因技术背景代码分析解决方案如何避免此类问题发生
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3400
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson1.2.24漏洞分析及源码分析
mwei83的博客
05-02 1841
近期出现fastjson的远程代码执行漏洞fastjson国内知名度很高的json库,趁这个机会学习下,与大家分享下漏洞原因,fastjson反序列化流程。远程代码执行漏洞 反序列原理1 通过入参类型,生成反序列化器。2 反序列化器调用入参类型的无参构造函数,创建对象。 3 解析序列化字符串,取出Key,Value值,调用相应的setKey(Value)方法。这个漏洞主要是fastjso...
fastjson1.2.24反序列化漏洞
weixin_45805993的博客
11-05 553
漏洞详情 Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"选项。如果使用受影响版本中的默认solr.in.sh文件,那么将启用JMX监视并将其暴露在RMI_PORT上(默认值= 18983),并且无需进行任何身份验证。 如果防火墙中的入站流量打开了此端口,则具有Solr节点网络访问权限的任何人都将能够访问JMX,并且可以上传恶意代码在Solr服务器上执行。该漏洞不影响Windows系统的用户,仅影响部分版本的
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3457
Fastjson 1.2.47反序列化漏洞复现
【超详细】Fastjson1.2.24反序列化漏洞复现
SuPejkj的博客
10-20 3429
0x01 前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符.
FastJson反序列化系列漏洞分析
守拙的博客
08-29 3170
fastsjon 1.2.24-1.2.68 多个版本反序列化漏洞分析复现
Fastjson 1.2.24反序列化漏洞
weixin_51151498的博客
01-04 619
Fastjson 1.2.24反序列化漏洞
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析
st3pby的博客
12-19 1658
FastJson在<=1.2.24@typesetget这里分析利用链。
Java代码审计——Fastjson1.2.24反序列化漏洞
王嘟嘟的博客
12-03 2032
0x00 前言 Fastjson是一个老生常谈的东西,但是之前整理的东西都比较简单和凌乱所以只能开篇重新进行整理,方便复习和学习。 0x01 环境 idea使用maven创建一个新的工程 1.修改pom 这里添加1.2.24版本的fastjson库 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w
fastjson 1.2.24反序列化导致任意命令执行漏洞分析记录
爱无止
11-25 2288
环境搭建:小说搜索 shupu.org 漏洞影响版本: fastjson1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常访问页面返回hello,world~ 此时抓包修改content-type为json格式,并post payload,即可执...
fastjson-1.2.24漏洞复现
qq_43599126的博客
07-04 1332
看完利用链分析后,我们来总结一下,整体来说就是fastjson是根据@type来进行反序列化类并且没有做任何限制,允许指定@type来反序列化任意类,所以导致了反序列化漏洞
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349)
Continuejww的博客
09-17 388
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
fastjson-1.2.24漏洞,搭建及复现,手把手图文教程
芜湖~米汤来喽~
10-04 1484
代码fastjson-1.2.24漏洞,搭建及复现,手把手图文教程。
Fastjson反序列化漏洞深度解析及EXP汇总
资源摘要信息:"Fastjson是一款广泛...通过上述内容,可以看出Fastjson反序列化漏洞以及其带来的安全风险是非常值得关注的。这要求开发者和安全人员必须对此类漏洞有充分的认识,并采取有效的措施来防范可能的攻击。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值