fastjson反序列化基础

最新推荐文章于 2024-04-23 10:29:35 发布
最新推荐文章于 2024-04-23 10:29:35 发布
阅读量881 收藏
点赞数
分类专栏: java Web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caiqiiqi/article/details/104040324
版权
安全 同时被 3 个专栏收录
264 篇文章 9 订阅
订阅专栏
Web
220 篇文章 7 订阅
订阅专栏
java
213 篇文章 3 订阅
订阅专栏

https://github.com/mbechler/marshalsec

fastjson反序列化

fastjson三种反序列化方式的差异

参考:
https://xz.aliyun.com/t/7027
在这里插入图片描述

1、返回结果的对象类型不同

说明:
使用

JSON.parse(serializedStr);

或者

JSON.parseObject(serializedStr);    // 不指定具体类

得到的对象为com.alibaba.fastjson.JSONObject类型,也就是json字符串。
使用

JSON.parseObject(serializedStr,User.class);   // 指定具体类,这里为com.cqq.User类

得到的对象类型为com.cqq.User

PS:查看JSON.parseObject的具体实现,发现其实最终还是调用了JSON.parse
在这里插入图片描述
//TODO 后续再深入

2、执行过程中调用的方法不同

使用FastJsonTest进行测试,发现在反序列化中调用的方法不同。
在这里插入图片描述
发现这三种方式都会调用目标类的set方法,但是只有

JSON.parseObject(payload);

会调用目标类的get方法。
调用栈如下:
在这里插入图片描述
就是因为parseObject比其他方式多了一个toJSON操作。因为要得到json数据,就得调用目标类的get方法,拿到这个对象的某个属性值。
在这里插入图片描述

@type字段的使用

其实就是JSON.toJSONString方法多加一个参数。之前是:

String serializedStr = JSON.toJSONString(user1);

在这里插入图片描述
现在改成

String serializedStr = JSON.toJSONString(user1, SerializerFeature.WriteClassName);

在这里插入图片描述

使用Person类进行反序列化实验

测试代码如下:

package com.cqq;

import com.alibaba.fastjson.JSON;

public class Type {

    public static void main(String[] args) {
        String eneity3 = "{\"@type\":\"com.cqq.Person\", " +
                "\"name\":\"cqq\", \"full_name\":\"caiqiqi\", " +
                "\"age\": 18, \"prop\": {\"123\":123}, \"sex\": 1}";
        //反序列化
        Object obj = JSON.parseObject(eneity3, Person.class);
        //输出会调用obj对象的toString函数
        System.out.println(obj);
    }
}

Person类内容如下:

package com.cqq;

import java.util.Properties;

public class Person {
    //属性
    public String name;
    private String full_name;
    private int age;
    private Boolean sex;
    private Properties prop;
    //构造函数
    public Person(){
        System.out.println("[*] Person构造函数");
    }
    //set
    public void setAge(int age){
        System.out.println("[*] setAge()");
        this.age = age;
    }
    //get 返回Boolean
    public Boolean getSex(){
        System.out.println("[*] getSex()");
        return this.sex;
    }
    //get 返回ProPerties
    public Properties getProp(){
        System.out.println("[*] getProp()");
        return this.prop;
    }
    //在输出时会自动调用的对象ToString函数
    public String toString() {
        String s = "[Person Object] name=" + this.name
                + " full_name=" + this.full_name  + ", age=" + this.age
                + ", prop=" + this.prop + ", sex=" + this.sex;
        return s;
    }
}

在这里插入图片描述
从结果看,发现只有name和age被解析出来了。猜想分析:
1、对比name和full_name,他们的值在json数据中都指定了,而且Person类中都没有他们的set和get方法,但是name属性是public的,而full_name属性是private的。
2、age内容被输出,发现setAge()被调用了。
3、虽然getProp()方法也被调用了,但是由于prop属性是private的,且没有相应的set方法,无法将json字符串中的值赋值给对象。

然而并不是这样。

caiqiiqi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FastJson序列号和反序列化范例(Java、Scala版)
i000zheng的博客
08-03 1759
目录 1. Java版 1.1 序列化         1.1.1 序列化一个普通对象         1.1.2 序列化和反序列化日期 1.2 反序列化 1.3 一些其他常用函数 2. Scala版 2.1 序列化 2.2 反序列化   1. Java版 1.1 序列化 1.1.1 序列化一个普通对象 存在空值时,有两种处理方法。 // 正常对象 User u =...
Fastjson反序列化漏洞基础
洋洋的小黑屋
07-30 175
Fastjson反序列化漏洞基础 FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。 0x0 简单使用 pom.xml加入FastJson <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24<
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> [<arguments...>]] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode, 展示生成的payloads gadget_type:指定使用的payload arguments - payload运行时使用的参数 marshalsec.<marshaller>:指定exploits,根目录下的java文件名
fastJson序列化和反序列化 中空字符串的处理
xupeng874395012的博客
06-23 1万+
json在我们开发的过程中被大量的使用,有的时候我们需要在序列化和反序列化的时候对某些字段或者某种类型的值做特殊对待。比如有时候没有值的数值类型默认值是0,或者序列化的时候为了节省空间把空值给过滤掉,还有的用于restful的接口的时候会需要把空字段序列化出来,反序列化的时候也需要出来等等。   我这边的总结来源场景是restful接口的,目的是在任何处理的过程中都要带着空字符串的属性key
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
小司机的奥拓
04-23 2179
在复现的过程中我也出现了许多的问题,最后发送bp改过的数据包之后,一直无法获取shell,也无法创建文件。后来发现是java和javac的版本问题,一定要保证二者都是1.8的版本!其他fastjson的漏洞原理相似,只不过是增加了一下黑白名单的过滤,也存在对应的绕过方法,大家可以CSDN上再搜一搜,有很多相关文章。
Fastjson反序列化
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
7.深育杯赛前培训-反序列化漏洞
qwsn
10-29 2148
一、反序列化基础 1、序列化和反序列化 2、PHP序列化和反序列化基本类型表达 3、PHP序列化和反序列化 4、代码中的关键函数 5、魔术方法 6、示例1 7、示例2 二、常见的反序列化 1、反序列化利用 1、存在反序列化漏洞的必要条件: (1)存在魔术方法 (2)存在命令执行漏洞 (3)存在反序列化函数 (4)传参可控 2、反序列化漏洞利用的方法: (1)定义类 (2)实例化类 (3)序列化类 (4)将序列化结果传入 三、Phar反序列化 1、Phar概念 2、Phar文
fastjson反序列化利用
Jiajiajiang_的博客
11-27 3525
这是对fastjson反序列化的一次利用,关键信息会进行打码处理,且对方此漏洞已修复。 首先确定下是否使用了fastjson 在使用了json传数据的地方,尝试用一些特殊符号打算json的结构,使程序报错。 我们尝试利用fastjson的漏洞 参考及需要文件下载:https://github.com/CaijiOrz/fastjson-1.2.47-RCE/ 将下载好的其中一...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
这里,我们为`value`和`hashValue`设置了Fastjson序列化器,而`key`和`hashKey`使用了默认的`StringRedisSerializer`,因为Redis的key通常为字符串。 **3. 示例实体类** 为了演示序列化和反序列化的效果,我们可以...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan一个简单的Fastjson反序列化检测burp插件我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说...
Fastjson序列化原理
qq_36996635的博客
07-25 3268
而getJson被简单当作了json属性的getter,所以在writer.write(object)中调用了getJson从而出现了递归。最后,在github的issue中也翻到了一个对应的问题,作者给出的答案就是换个名字。返回继续分析,在做了部分如注解别名之类的处理后,将分析得到的结果生成一个FieldInfo,并保存在fieldInfoMap中。排除自己的错误后,就将代码定位到了fastjson中,应该是fastjson中出了问题。在项目中使用了fastjson,然后出现了一个奇怪的bug。.....
fastjson源码分析——SerializeFilter使用及分析
qq_45946035的博客
09-11 3111
2021SC@SDUSC 简介 本篇主要分析SerializeFilter,首先做个大体的介绍,然后展示它的简单使用,最后简单分析它的源码 介绍 SerializeFilter可以定制我们转换json的场景,比如我们在转换某些对象为其JSON表示形式时,我们对于有些对象中的某些属性可能不想转换,或者当我们从数据库中拿出所有的条目时只有部分符合条件的对象应该转换为JSON对象并通过网络传输,若使用fastjson转换,这个时候就要用到SerializeFilter来定制我们的使用场景。 我们观察Serial
【springboot进阶】springboot集成fastjson(二)自定义序列化/反序列化
热门推荐
06-15 1万+
介绍fastjson2如何使用自定义序列化和反序列化,配合日常接触的场景举例代码中如何实现,如日期型转化为毫秒数、单位元转分等。
Java反序列化Fastjson基础
..
01-06 7286
最近摆烂了很久,来学习一下fastjson Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。JSON.parseObject/JSON.parse 将 json 对象重新变回 Java 对象反序列化的过程所以可以简单的把 json 理解成是一个字符串。
FastJson快速上手【Json解析工具】
路漫漫其修远兮,吾将上下而求索
10-22 2808
针对JSON序列化和反序列化,为了方便快捷,我们一般使用json序列化工具进行操作常见的json序列化工具有Gson和FastJsonFastJson是阿里巴巴开源的项目,号称是速度最快的json解析工具。
fastjson反序列化攻略,网络安全开发实习面试题
2401_84412472的博客
04-17 2018
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。(img-QXcoIhbz-1713360224912)]【不报错】1.2.83/1.2.24 【报错】1.2.25-1.2.80。【不报错】1.2.24-1.2.68 【报错】1.2.70-1.2.83。【不报错】1.2.24-1.2.47 【报错】1.2.48-1.2.83。【不报错】1.2.24 【报错】1.2.25-1.2.83。unicode编码绕过。
fastjson反序列化
07-27
Fastjson是一个Java语言编写的高性能JSON处理库,可以实现JSON字符串与Java对象之间的相互转换。在Fastjson中,反序列化就是将JSON字符串转换为Java对象的过程。 要进行Fastjson反序列化,首先需要将JSON字符串作为输入,然后使用Fastjson提供的API将其转换为Java对象。以下是一个简单的示例代码: ```java import com.alibaba.fastjson.JSON; public class FastjsonExample { public static void main(String[] args) { String jsonString = "{\"name\":\"Alice\",\"age\":25}"; // 将JSON字符串反序列化为Java对象 Person person = JSON.parseObject(jsonString, Person.class); System.out.println(person.getName()); // 输出:Alice System.out.println(person.getAge()); // 输出:25 } } class Person { private String name; private int age; // 省略构造函数和其他方法 // Getter和Setter方法 } ``` 在上述示例中,首先定义了一个Person类,该类包含了name和age两个属性。然后,使用`JSON.parseObject`方法将JSON字符串`jsonString`反序列化为Person对象。 需要注意的是,Fastjson会根据属性名匹配JSON中的字段,并将对应字段的值赋给属性。因此,在进行反序列化时,要确保Java类的属性名与JSON中的字段名一致,或者使用`@JSONField`注解来指定字段名和属性名之间的映射关系。 以上就是使用Fastjson进行反序列化的基本步骤和示例代码。希望能对你有所帮助!如果有更多问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值