0x01简介
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。
FastJson特点如下:
(1)能够支持将java bean序列化成JSON字符串,也能够将JSON字符串反序列化成Java bean。
(2)顾名思义,FastJson操作JSON的速度是非常快的。
(3)无其他包的依赖。
(4)使用比较方便。
0x02漏洞介绍
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。并且在Fastjson 1.2.47及以下版本中,利用其缓存机制可实现对未开启autotype功能的绕过。
0x03影响版本
Fastjson <= 1.2.47
0x04环境搭建
虚拟机:centos7
所需环境:jdk8
JDK8下载地址:https://pan.baidu.com/s/1nuxQJkYwkY2UOaPEIshQig 提取码:lc0i
Tomcat
Tomcat下载地址:https://mirrors.tuna.tsinghua.edu.cn/apache/tomcat/tomcat-9/v9.0.36/bin/
Fastjson1.2.47
Fastjson1.2.47下载地址:链接:https://pan.baidu.com/s/1D0gDc3NGXlHQ2Yamy4zHtQ 提取码:ps2p
本地搭建Tomcat
1.安装jdk8并配置环境变量
首先在usr目录下创建一个java的目录
mkdir /usr/java
2.将下载好的jdk8的安装包放在usr/java目录下,使用tar解压,mv重命名
tar zxvf jdk-8u141-linux-x64.tar
mv jdk-8u141-linux-x64.tar/ jdk8 //重命名为jdk8
3.配置系统环境变量,使用vim编辑profile文件
vim /etc/profile 在最后一行加上一下代码
export JAVA_HOME=/usr/java/jdk8
export CLASSPATH=.: J A V A H O M E / j r e / l i b