fastjson反序列化分析

已于 2022-03-18 22:14:03 修改
阅读量2.5k 收藏
点赞数
文章标签: java 安全 哈希算法
于 2022-03-16 19:48:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/123534280
版权
本文深入探讨了fastjson的简单使用、反序列化漏洞分析及其字节码加载过程。重点在于反序列化漏洞,当遇到@type时,fastjson会加载指定类并尝试通过无参构造创建对象。攻击者常利用TemplatesImpl链加载字节码实现远程代码执行(RCE)。通过在setter方法中插入命令执行代码,结合字节码加载机制,证明了这一攻击路径的可行性。
摘要由CSDN通过智能技术生成

1.fastjson简单使用

User:

package com.naihe;

public class User {
   
    private String name;
    private int age;

    public User() {
   }
    
    public User(String name, int age) {
   
        this.name = name;
        this.age = age;
    }

    public String getName() {
   
        return name;
    }

    public void setName(String name) {
   
        this.name = name;
    }

    public int getAge() {
   
        return age;
    }

    public void setAge(int age) {
   
        this.age = age;
    }
}

Demo:

package com.naihe;

import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class FS {
   
    public static void main(String[] args) {
   
        User user1 = new User("小李",10);
        String JsStr1= JSONObject.toJSONString(user1);
        System.out.println(JsStr1);

        User user2 = new User("大李",100);
        String JsStr2= JSONObject.toJSONString(user2, SerializerFeature.WriteClassName);
        System.out.println(JsStr2);

        String str = "{\"@type\":\"com.naihe.User\",\"age\":1000,\"name\":\"老李\"}";
        Object obj1 = JSONObject.parse(str);
        System.out.println(obj1);

        Object obj2 = JSONObject.parseObject(str);
        System.out.println(obj2);

    }
}

在这里插入图片描述

2.反序列化漏洞分析

由于fastjson调试起来过程比较复杂,在这里直接看关键点:
首先会获取字符串的第一对引号中的内容

在这里插入图片描述

如果内容为@type就会加载下一对引号中的类

在这里插入图片描述

在这里插入图片描述

在JavaBeanInfo.class中会获取类中所有详细详细
在这里匹配以set开头的方法

在这里插入图片描述

这里判断函数名长度大于4,且以set开头,非静态函数,返回类型为void或当前类参数个数为1个的方法

最低0.47元/天 解锁文章
红队蓝军
关注
FastJson反序列化
Finlinlts的博客
08-30 3673
Fastjson允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用
Fastjson反序列化
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
07-05 1603
fastjson
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1967
Fastjson反序列化漏洞各个版本的原理浅析。
fastjson反序列化
walton的博客
11-06 1635
对于maven工程,要将json数据反序列化需要个步骤: 1、添加fastjson的依赖 com.alibaba fastjson 1.2.39 2、安装GsonFormat插件(以下是IntelliJ Idea安装GsonFormat,其它ide的可以自行百度怎么安装插件) file--》settings--》Plugins,在搜索框中输入Gson
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
这里,我们为`value`和`hashValue`设置了Fastjson序列化器,而`key`和`hashKey`使用了默认的`StringRedisSerializer`,因为Redis的key通常为字符串。 **3. 示例实体类** 为了演示序列化反序列化的效果,我们可以...
FastJson反序列化分析
m0_49443776的博客
11-19 4126
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
fastjson反序列化 CVE-2017-18349
zkaqlaoniao的博客
12-19 216
fastjson中,在反序列化的时候 jdk中 的 jdbcRowSetImpl 类一定会被执行,我们给此类中的 setDataSourcesName 输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。序列化 String json_ser = "{"@type":"com.company.Student","name":"jack"}";序列化 String json_ser2 = "{"name":"jack"}";
Fastjson 1.2.24 反序列化(CVE-2017-18349)
黑白的博客
11-23 3387
声明 好好学习,天天向上 漏洞描述 CVE-2017-18349,前台无回显RCE fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。 影响范围 fastjson<=1.2.24 复现过程 这里使用1.2.24版本 使用vulhub cd /app/vulhub-20201028/fastjson/1.2.24-rce 使用docker启动 docker-compose
Fastjson反序列化讲解
weixin_45597678的博客
01-02 6207
文章目录一、Java自省机制简介二、漏洞分析三、漏洞利用 一、Java自省机制简介 Java自省机制是Java语言对JavaBean类属性、事件的一种缺省转换方式,对于类的私有属性需要设置set/get方法来获取和设置值的这是一种默认规则,而在Java中存在一个API让我们可以不用去了解这个规则这个API在包java.beans中的,通过这个API可以直接掉类中get/set方法去读取和设置类属性值 import java.beans.PropertyDescriptor; import java.la
FastJson实现复杂对象序列化反序列化
热门推荐
xqhadoop的博客
03-15 2万+
一.认识FastJson fastjson是目前java语言中最快的json库,比自称最快的jackson速度要快,第三方独立测试结果说明比gson快大约6倍 JSON帮助类 这个可以做一个实例研究代码,也可以作为一个工具类 去调用。 FastJson是一个Json处理工具包,包括“序列化”和“反序列化”两部分,Fastjson是一个Java语言编写的高性能功能完善的JSON库。 F
fastjson反序列化TemplatesImpl
weixin_30883311的博客
12-28 427
环境参考第一个链接,直接用IDEA打开 编译EvilObject.java成EvilObject.class 先看poc,其中NASTY_CLASS为TemplatesImpl类,evilCode是EvilObject.class base64编码: final String evilClassPath = "E:\\Struts2-Vulenv-master\\PoCs-fast...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值