【FastJson1.2.24反序列化漏洞代码分析】

已于 2022-08-21 10:50:15 修改
阅读量1k 收藏 2
点赞数 1
分类专栏: 代码分析
于 2022-07-24 03:25:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BigBirdSecurity/article/details/125952831
版权

web安全

第一章 fastjson1.2.24反序列化漏洞原理代码分析

@ author 鸿鸟安全 ->书到用时方恨少

文章目录

前言

       FastJson漏洞代码分析,为了对漏洞理解更深入,也是为以后挖掘通用漏洞作铺垫,提升代码审计能力,积累更多的知识。

一、FastJson

       FastJson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库,对标Google的Gson。

优点:

  • 速度快
  • 使用广泛
  • 使用简单

二、FastJson使用

1.maven工程直接引用jar

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>版本根据自己需要</version>
</dependency>

三、漏洞环境搭建


1.Idea新建maven工程的文件结构


在这里插入图片描述

2.pom.xml引入fastjson1.2.24jar包

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.fastjson</groupId>
    <artifactId>fastajson</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
        </dependency>
    </dependencies>

    <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
    </properties>

</project>

3.新建Person类

先在Java目录下新建包com.trancers.test,然后在包中新建Person

package com.trancers.test;

import java.io.IOException;

public class Person {
    private String name;
    private Integer age;


    public String getName() {
        System.out.println("call getname");
        return name;
    }

    public void setName(String name) throws IOException {
        System.out.println("call setname");
        Runtime.getRuntime().exec(name);
        this.name = name;
    }

    public Integer getAge() {
        System.out.println("call getage");
        return age;
    }

    public void setAge(Integer age) {
        System.out.println("call setage");
        this.age = age;
    }
}

3.新建主函数TestMain

  1. 构造简单的payload,下面看一下调用过程
package com.trancers.test;
import com.alibaba.fastjson.JSONObject;


public class TestMain {
    public static void main(String[] args) {
        String str = "{\"@type\":\"com.trancers.test.Person\",\"age\":20,\"name\":\"calc\"}";

        Object obj1 = JSONObject.parse(str);
        System.out.println(obj1);
    }
}
  1. 首先进入JONObject类调用parse方法

在这里插入图片描述

  1. 调用静态parse同名方法传入testDEFAULT_PARSER_FEATURE两个参数

在这里插入图片描述

  1. DEFAULT_PARSER_FEATURE在加载JSON类同时加载静态代码块计算出数值989

在这里插入图片描述

  1. 创建一个DefaultJSONParser对象将JSONToken.LBRACE赋值给((JSONLexerBase) lexer).token

在这里插入图片描述

  1. 看一下parser属性包含哪些,然后调用parse方法

在这里插入图片描述

  1. 方法里做了一个判断之前在上个方法中已经赋值lexer.token所以会走到LBRACE

在这里插入图片描述

  1. 创建了一个hashmap对象

在这里插入图片描述在这里插入图片描述

  1. 调用parseObject方法

在这里插入图片描述

  1. 做词法分析取出key值,及key对应value值

在这里插入图片描述

  1. 因为@type走进了这个判断里,执行了类反射,@type值又是包的路径所以根据com.trancers.test.Person直接去加载类

在这里插入图片描述
在这里插入图片描述

  1. 然后进行序列化操作,取出类的所有属性,以及传入的text进行匹配,类的属性名与key值相同进行赋值。

在这里插入图片描述

四、总结

简单分析一下fastjson反序列化漏洞的成因、调用过程和触发点。

在这里插入图片描述

鸿鸟安全团队
关注
专栏目录
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1261
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化。java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法。
Fastjson 1.2.24反序列化漏洞复现
m0_54899775的博客
01-16 4542
Fastjson 1.2.24反序列化漏洞复现 创建文件,反弹shell
fastjson-1.2.24
04-24
fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。
【Java代码审计】Fastjson1.2.24漏洞分析
网络安全从业者的学习笔记
04-03 387
Fastjson是由阿里巴巴研发的一个java库,用来实现Java对象转换JSON格式以及JSON字符串转换为对象。 在Fastjson
fastjson-1.2.24利用
最新发布
08-01 1365
这里调用get方法的话也是在toJSON调用(方法返回Connect,过不了判断,不会在生成反序列化器中调用),顺序很清晰。这里要注意dataSourceName的写法,因为fastjson是根据setter和getter获取的属性,所以名字要根据setter和getter的名字写,而不是根据对应属性名写。我们在json中指定@type参数,故fastjson会尝试将该字符串反序列化为指定类的对象,并调用类中的set方法给对象进行赋值,把反序列化后拿到的对象toJSON时用get方法。
Fastjson源码分析1.2.24漏洞分析
qq_45854465的博客
12-23 2775
2021SC@SDUSC 前面的文章中已经分析Fastjson反序列化的相关代码,涉及的方面很多、覆盖面也很全。可以看到,Fastjson是一款非常好的Json字符串反序列化工具,高效、简洁、无依赖、可定制。然而,高效的Json解析也给它带来了风险,最大的问题莫过于几年前爆出的1.2.24版本的远程代码执行漏洞,该漏洞现在已经修复,本篇文章将分析这个漏洞产生的原因,复现方式以及解决方案,还尝试从工具开发者的角度探讨如何避免此类漏洞的发生。 目录漏洞复现产生原因技术背景代码分析解决方案如何避免此类问题发生
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3337
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
FastJson反序列化系列漏洞分析
守拙的博客
08-29 3151
fastsjon 1.2.24-1.2.68 多个版本反序列化漏洞分析复现
fastjson1.2.24反序列化漏洞
weixin_45805993的博客
11-05 532
漏洞详情 Apache Solr的8.1.1和8.2.0版本的自带配置文件solr.in.sh中存在ENABLE_REMOTE_JMX_OPTS="true"选项。如果使用受影响版本中的默认solr.in.sh文件,那么将启用JMX监视并将其暴露在RMI_PORT上(默认值= 18983),并且无需进行任何身份验证。 如果防火墙中的入站流量打开了此端口,则具有Solr节点网络访问权限的任何人都将能够访问JMX,并且可以上传恶意代码在Solr服务器上执行。该漏洞不影响Windows系统的用户,仅影响部分版本的
Fastjson 1.2.47反序列化漏洞复现
m0_54899775的博客
03-16 3413
Fastjson 1.2.47反序列化漏洞复现
【超详细】Fastjson1.2.24反序列化漏洞复现
SuPejkj的博客
10-20 3392
0x01 前言 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 特性: 提供服务器端、安卓客户端两种解析工具,性能表现较好。 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符.
Fastjson 1.2.24反序列化漏洞
weixin_51151498的博客
01-04 594
Fastjson 1.2.24反序列化漏洞
fastjson1.2.24 反序列化漏洞(CVE-2017-18349)分析
st3pby的博客
12-19 1617
FastJson在<=1.2.24@typesetget这里分析利用链。
Java代码审计——Fastjson1.2.24反序列化漏洞
王嘟嘟的博客
12-03 1989
0x00 前言 Fastjson是一个老生常谈的东西,但是之前整理的东西都比较简单和凌乱所以只能开篇重新进行整理,方便复习和学习。 0x01 环境 idea使用maven创建一个新的工程 1.修改pom 这里添加1.2.24版本的fastjson库 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w
fastjson 1.2.24反序列化导致任意命令执行漏洞分析记录
爱无止
11-25 2274
环境搭建:小说搜索 shupu.org 漏洞影响版本: fastjson1.2.24以及之前版本存在远程代码执行高危安全漏洞 环境地址: https://github.com/vulhub/vulhub/tree/master/fastjson/vuln 正常访问页面返回hello,world~ 此时抓包修改content-type为json格式,并post payload,即可执...
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349)
Continuejww的博客
09-17 346
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。
fastjson-1.2.24漏洞,搭建及复现,手把手图文教程
芜湖~米汤来喽~
10-04 1446
代码fastjson-1.2.24漏洞,搭建及复现,手把手图文教程。
Fastjson 1.2.24远程代码执行漏洞(com.sun.rowset.JdbcRowSetImpl)
further_eye的博客
11-16 4066
漏洞是利用fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类连接远程rmi主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用,获取服务器的敏感信息泄露,甚至可以利用此漏洞进一步对服务器数据进行修改,增加,删除等操作,对服务器造成巨大的影响。
fastjson反序列化-1.2.24漏洞利用与分析
2301_80127209的博客
03-19 1006
Fastjson1.2.24版本是最先发现漏洞的版本,这篇文章也是作为学习Fastjson反序列化的开端。后续会继续学习Fastjson高版本的绕过。反序列化之路任重而道远。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
weblogic和fastjson反序列化漏洞原理分析及复现
09-07
2. Fastjson反序列化漏洞原理分析及复现: Fastjson是一个常用的Java JSON库,该漏洞存在于Fastjson的版本1.2.24及之前的版本中。攻击者可以通过构造恶意的JSON数据,触发Fastjson反序列化漏洞,从而执行任意代码...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值