反序列化漏洞例子——fastjson反序列化漏洞的调试与分析

最新推荐文章于 2025-03-24 22:45:05 发布
最新推荐文章于 2025-03-24 22:45:05 发布
阅读量5.5k 收藏 5
点赞数 2
分类专栏: 安全 文章标签: 反序列化漏洞 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/111706189
版权

文章目录


一直知道反序列化漏洞的大概原理和利用方式,但从来没有真正动手调试过,拿来主义终究不可取,于是就有了这篇文章,这里就以fastjson为例,为自己好好捋一捋,沉淀一下。
文章有点过分的长,一次可能看不完。。。不过幸好有目录,有需要可以挑自己喜欢的地方看

环境

贴上我的pom.xml

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.example</groupId>
    <artifactId>JavaProject</artifactId>
    <version>1.0-SNAPSHOT</version>
    <dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
        </dependency>
        <dependency>
            <groupId>commons-codec</groupId>
            <artifactId>commons-codec</artifactId>
            <version>1.12</version>
        </dependency>
        <dependency>
            <groupId>commons-io</groupId>
            <artifactId>commons-io</artifactId>
            <version>2.5</version>
        </dependency>
        <dependency>
            <groupId>com.unboundid</groupId>
            <artifactId>unboundid-ldapsdk</artifactId>
            <version>4.0.9</version>
            <scope>test</scope>
        </dependency>
    </dependencies>
</project>

可以搞一个marshalsec(不想搞的,忽略,后面会有替代代码),在github上下载,解压并在同目录下使用如下命令打包

mvn clean package -DskipTests

在target目录下可以找到marshalsec-0.0.3-SNAPSHOT-all.jar

fastjson介绍

首先创建一个简单Student类:

package fastjson;

public class Student {
   
    private String name;
    private int age;

    public Student() {
   
        System.out.println("Student构造函数");
    }

    public String getName() {
   
        System.out.println("Student getName");
        return name;
    }

    public void setName(String name) {
   
        System.out.println("Student setName");
        this.name = name;
    }

    public int getAge() {
   
        System.out.println("Student getAge");
        return age;
    }

    public void setAge(int age) {
   
        System.out.println("Student setAge");
        this.age = age;
    }
}

TestFastJson.java,调用JSON.toJsonString()来序列化Student类对象 :

package fastjson;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class TestFastJson {
   
    public static void main(String[] args){
   

        Student student = new Student();
        student.setName("5wimming");
        student.setAge(18);
        String jsonString = JSON.toJSONString(student, SerializerFeature.WriteClassName);
        System.out.println(jsonString);
    }
}

FastJson利用 toJSONString 方法来序列化对象,SerializerFeature.WriteClassName是JSON.toJSONString()中的一个设置属性值,设置之后在序列化的时候会多写入一个@type,即写上被序列化的类名,type可以指定反序列化的类,并且调用其getter/setter/is方法,而问题恰恰出现在了这个特性,我们可以配合一些存在问题的类,然后继续操作,造成RCE的问题。

输出如下:

# 设置了SerializerFeature.WriteClassName属性
Student构造函数
Student setName
Student setAge
Student getAge
Student getName
{
   "@type":"fastjson.Student","age":18,"name":"5wimming"}

# 未设置SerializerFeature.WriteClassName属性
Student构造函数
Student setName
Student setAge
Student getAge
Student getName
{
   "age":18,"name":"5wimming"}

而反序列化还原回 Object 的方法,主要的API有两个,分别是 JSON.parseObjectJSON.parse ,最主要的区别就是前者未指定目标类的前提下返回的是 JSONObject ,而后者返回的是实际类型的对象。

parseObject() 本质上也是调用 parse() 进行反序列化的。但是 parseObject() 会额外的将Java对象转为 JSONObject对象,即 JSON.toJSON()。

所以进行反序列化时的细节区别在于,parse() 会识别并调用目标类的 setter 方法及某些特定条件的 getter 方法,而 parseObject() 由于多执行了 JSON.toJSON(obj),因此在处理过程中会调用反序列化目标类的所有 setter 和 getter 方法。

package fastjson;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;
import com.alibaba.fastjson.parser.Feature;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class TestFastJsonDer {
   
    public static void main(String[] args){
   
        String jsonString ="{\"@type\":\"fastjson.Student\",\"age\":18,\"name\":\"5wimming\"}";

        System.out.println("通过parseObject方法进行反序列化,未指定class,返回一个JSONObject对象:");
        JSONObject obj = JSON.parseObject(jsonString);
        System.out.println(obj);
        System.out.println(obj.getClass().getName());

        System.out.println("通过parseObject方法进行反序列化,指定class,返回相应的类:");
        Student obj02 = JSON.parseObject(jsonString, Student.class);
        System.out.println(obj02);
        System.out.println(obj02.getClass().getName());

        System.out.println("通过parse方法进行反序列化,返回相应的类:");
        Student obj03 = (Student)JSON.parse(jsonString);
        System.out.println(obj03);
        System.out.println(obj03.getClass().getName());
    }
}

输出如下:

通过parseObject方法进行反序列化,未指定class,返回一个JSONObject对象:
Student构造函数
Student setAge
Student setName
Student getAge
Student getName
{"name":"5wimming","age":18}
com.alibaba.fastjson.JSONObject

通过parseObject方法进行反序列化,指定class,返回相应的类:
Student构造函数
Student setAge
Student setName
fastjson.Student@4f2410ac
fastjson.Student

通过parse方法进行反序列化,返回相应的类:
Student构造函数
Student setAge
Student setName
fastjson.Student@722c41f4
fastjson.Student

Feature.SupportNonPublicField的使用

fastjson默认情况下是不会反序列化私有属性的,如果需要怼私有属性进行反序列化,则需要在parseObject()函数添加一个属性Feature.SupportNonPublicField。

举一个栗子:

我们把student类改改,把私有属性age的set方法去掉(如果不去掉,fastjson依然是能反序列化成功的,因为你提供了这个接口),作为对比,我们把name属性设置为public,并且也注释掉set方法:

package fastjson;

public class Student {
   
    public String name;
    private int age;
    public Student() {
   
        System.out.println("Student构造函数");
    }

    public String getName() {
   
        System.out.println("Student getName");
        return name;
    }

//    public void setName(String name) {
   
//        System.out.println("Student setName");
//        this.name = name;
//    }

    public int getAge() {
   
        System.out.println("Student getAge");
        return age;
    }

//    public void setAge(int age) {
   
//        System.out.println("Student setAge");
//        this.age = age;
//    }
}

然后反序列化:

String jsonString ="{\"@type\":\"fastjson.Student\",\"age\":18,\"name\":\"5wimming\"}";
Student obj04 = JSON.parseObject(jsonString, Student.class, Feature.SupportNonPublicField);
System.out.println(obj04);
System.out.println(obj04.getClass().getName());
System.out.println(obj04.getName() + " " + obj04.getAge());

输出如下,发现不带Feature.SupportNonPublicField的age为0,即没有赋值成功,而同样没有set函数的name却可以赋值成功。

# 带有Feature.SupportNonPublicField
Student构造函数
fastjson.Student@5b80350b
fastjson.Student
Student getName
Student getAge
5wimming 18

# 不带Feature.SupportNonPublicField
Student构造函数
fastjson.Student@5b80350b
fastjson.Student
Student getName
Student getAge
5wimming 0

下面是Fastjson反序列化的类方法调用关系:

在这里插入图片描述

JSON:门面类,提供入口

DefaultJSONParser:主类

ParserConfig:配置相关类

JSONLexerBase:字符分析类

JavaBeanDeserializer:JavaBean反序列化类

Fastjson会对满足下列要求的setter/getter方法进行调用:

满足条件的setter:

  • 函数名长度大于4且以set开头
  • 非静态函数
  • 返回类型为void或当前类
  • 参数个数为1个

满足条件的getter:

  • 函数名长度大于等于4
  • 非静态方法
  • 以get开头且第4个字母为大写
  • 无参数
  • 返回值类型继承自Collection或Map或AtomicBoolean或AtomicInteger或AtomicLong

注意,除了getter方法和setter方法外,fastjson还有getIs和setIs方法,用于获取、设置布尔参数。

漏洞原理

从前文可知,fastjson在反序列化时,可能会将目标类的构造函数、getter方法、setter方法、is方法执行一遍,如果此时这四个方法中有危险操作,则会导致反序列化漏洞,也就是说攻击者传入的序列化数据中需要目标类的这些方法中要存在漏洞才能触发。

怎么样才能找到这种有漏洞函数的类呢

前文中,我们知道fastjson使用parseObject()/parse()进行反序列化的时候可以指定类型。有两种情况我们有可乘之机:

1、程序员自己实现的类中就包含了这种危险操作,那就可以直接利用了;

2、反序列化指定的类型太大,包含了很多子类,并且在不在反序列化的黑名单内,极端情况,如Object或JSONObject,像Object o = JSON.parseObject(poc,Object.class)就可以反序列化出来任意类,这种情况下,带有危险操作的类就相当可观了。

举个例子:

我们在setName()函数中加入了一个危险操作:

package fastjson;

import java.io.IOException;

public class Student {
   
    public String name;
    private int age;
    public Student() {
   
        System.out.println("Student构造函数");
    }

    public String getName() {
   
        System.out.println("Student getName");
        return name;
    }

    public void setName(String name) throws IOException {
   
        System.out.println("Student setName");
        Runtime.getRuntime().exec("open /System/Applications/Calculator.app");
        this.name = name;
    }

    public int getAge() {
   
        System.out.println("Student getAge");

        return age;
    }

//    public void setAge(int age) {
   
//        System.out.println("Student setAge");
//        this.age = age;
//    }
}

然后反序列化,便可弹出计算器了

package fastjson;

import com.alibaba.fastjson.JSON;
最低0.47元/天 解锁文章
fastjson反序列化漏洞
qq_73792226的博客
08-15 839
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
亲手带你 Debug Fastjson安全漏洞
代码界的扛把子
04-28 2330
简介 Java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里, https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,效率较高,被广泛的用在web服务以及android上,它的JSONString()方法可以将java的对象转换成j
Jackson 反序列化漏洞
blackmagic的博客
08-07 2364
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
fastjson反序列化漏洞_【漏洞复现】fastjson反序列化漏洞
weixin_39969611的博客
11-30 249
0x00影响版本fastjson< 1.2.480x01 漏洞原理 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。通过java.lang.Class,将JdbcRowSetImpl类加载到map缓存,从而绕过autotype的检测。因此...
【渗透测试】Fastjson 反序列化漏洞原理(一)
最新发布
SunnyCat
03-24 915
反序列化漏洞是指攻击者通过构造恶意的 JSON 数据,使得反序列化过程执行了未经授权的代码。这通常发生在应用程序接受外部输入并将其反序列化为对象时,如果输入的数据格式不符合预期,或者应用程序没有适当地验证和过滤输入,攻击者可以注入恶意代码并执行。
Fastjson 反序列化漏洞
m0_63645854的博客
06-13 402
本文主要介绍了什么是fastjson反序列化漏洞,原理及防御
Fastjson反序列化漏洞
热门推荐
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
Fastjson反序列化漏洞原理漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5406
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
反序列化漏洞例子——jackson反序列化漏洞调试分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-30 3951
文章目录反序列化例子漏洞原因漏洞条件enableDefaultTyping@JsonTypeInfo总结调试CVE-2017-7525(基于TemplatesImpl利用链)影响版本利用 Jackson 是用来序列化和反序列化 json 的 Java 的开源框架,Jackson 运行时占用内存比较低,性能比较好,且不依靠除JDK外的其他库。 反序列化例子 举一个jackson进行序列化和反序列化例子,首先,我的依赖包如下所示: <!-- jackson --> <depe
flexjson反序列化漏洞
u012464024的博客
03-28 1186
这里写目录标题引言代码如下: 引言 flexjson 在反序列化时,flexjson自身没有任何控制,可以导致,客户端构造任意类型的序列化json数据,导致服务端反序列化时,触发恶意类的初始化,威胁服务端安全,如下例子 使用javax.swing.JEditorPane 类,通过其page属性的初始化,可以进行任意url嗅探,同样的可以利用 String json5 = “{“class”:“javax.swing.JEditorPane”,“page”:“http://ddd.wanghao723.ns.
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3689
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
科普文:Java基础系列之【字节码应用案例Fastjson反序列化漏洞
为无为,事无事,味无味。
08-11 1195
transform方法利用Java的反射机制进行函数调用,传入的参数是input是一个实例化对象,利用这个方法便可以调用任意对象的任意方法(exec)从而执行命令,所以在DeSertPoc类里新建Transformer,最后组成的核心表达式为:((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("whoami");基于TemplateImpl的方法可以直接执行bytecodes。
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_54853787的博客
04-16 621
通过查找代码中相关的方法,即可构造出一些恶意利用链。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照下面的知识点去找对应的学习资源,保证自己学得较为全面。观看全面零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
FASTJSON反序列化漏洞合集分析小记(一)
lmh666888的博客
06-26 2132
FASTJSON反序列化漏洞合集分析小记
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值