fastjson1.2.75暂未修补的反序列化“漏洞“

最新推荐文章于 2024-08-08 17:20:38 发布
最新推荐文章于 2024-08-08 17:20:38 发布
阅读量7.5k 收藏 12
点赞数 4
分类专栏: 笔记 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sdihvai/article/details/111871147
版权
本文分析了fastjson1.2.75版本的一个潜在反序列化漏洞,该漏洞源于1.2.68版本的遗留问题。尽管1.2.69修复了部分问题,但作者指出1.2.75中仍存在漏洞,原因是未处理异常类的反序列化。文章详细探讨了"系统的白名单"、"通行证"和"绕过"策略,并提供了测试Demo,强调此漏洞虽利用难度较高,但仍具有研究价值。
摘要由CSDN通过智能技术生成

目录

前言

这几天在一直研究fastjson反序列化漏洞,从1.2.24版本开始一直到1.2.68版本,其漏洞分析及其利用在网上还是很多的,但不知是大佬们有意为之还是怎样,各博客上写的payload大致差不多,但其实在1.2.68的漏洞中,能用的思路不只有AutoCloseable这一个,还有其他方式也有可能导致RCE,我相信大佬们的手中依然有没有放出的payload。
目前最新1.2.75版本的漏洞(在我看来确实是漏洞,因为确实执行了反序列化攻击)的原因是我在分析1.2.68中找到的,我认为作者应该是知道的,因为原理和AutoCloseable是一样的,可能作者认为利用条件比较多,难以构成威胁,但作为学习之用还是很好的素材。

旧版本漏洞回顾

关于这个话题知乎上有答主做了高质量分析
fastjson到底做错了什么?为什么会被频繁爆出漏洞?
这个帖子很详细的总结了先前fastjson网上公开的漏洞细节,不过唯一不敢苟同的是作者在提到1.2.68版本中,主要利用方式是利用异常进行攻击,并且要重写getMessage方法。
其实在1.2.68版本中,利用最广泛的是使用AutoCloseable这个接口绕过checkAutoType,网上大多也以这种方式展开分析。因为AutoCloseable构成的payload所需要的条件可能没有那么复杂。文章中说1.2.69已经修复了异常攻击漏洞,但是经过测试似乎并没有。
AutoCloseable比较完整的利用链
fastjson 1.2.68 反序列化漏洞 gadgets 挖掘笔记

1.2.68的漏网之鱼

截止这篇文章发出,fastjson在github上的最新版本为1.2.75。
要分析1.2.75漏洞产生原因,我们还是要回到1.2.68版本的漏洞分析中去,本文不会去重提网上提到的一些常见的1.2.68的分析,会稍微提一下被人没有提出来的。

“系统的白名单”

fastjson1.2.68当初产生的主要原因在于,fastjson为了再次避免用户用其AutoType机制进行反序列化而产生漏洞,加入了checkAutoType方法,AutoType机制的标志就是“@type”这个标签。checkAutoType这个方法本意是不想让用户使用AutoType,除非用户自己开启AutoType。然而在checkAutoType方法实现过程中还是没忍住偷偷用了几下(标志是解析了"@type"标志),但加强了限制。在代码审计过程中,我发现了一行非常重要的代码。
这行代码位置在com.alibaba.fastjson.parser.ParserConfig第1326行

clazz = TypeUtils.getClassFromMapping(typeName);

(这行代码在fastjson宏观意义上有何作用暂不知晓)
clazz
其中typeName变量是用户输入的序列化之后的JSON格式数据中,含有类名的字符串,比如{"@type","com.demo.test"}这个json数据,其typeName就是com.demo.test。这行代码的意思就是从TypeUtils这个类中尝试获取json中提到的类。
TypeUtils的静态方法中,执行了addBaseClassMappings函数,其函数代码如下(注意其中含有AutoCloseable接口):

    private static void addBaseClassMappings(){
   
        mappings.put("byte", byte.class);
        mappings.put("short", short.class);
        mappings.put("int", int.class);
        mappings.put("long", long.class);
        mappings.put("float", float.class);
        mappings.put("double", double.class);
        mappings.put("boolean", boolean.class);
        mappings.put("char", char.class);
        mappings.put("[byte", byte[].class);
        mappings.put("[short", short[].class);
        mappings.put("[int", int[].class);
        mappings.put("[long", long[].class);
        mappings.
最低0.47元/天 解锁文章
d3f4ult
关注
专栏目录
fastjson-1.2.75.jar包
11-11
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson1.2.75暂未修补反序列化漏洞“-附件资源
03-02
fastjson1.2.75暂未修补反序列化漏洞“-附件资源
Java代码审计-fastjson反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1973
Fastjson反序列化漏洞各个版本的原理浅析。
Fastjson历史反序列漏洞分析(1.2.24-1.2.80)
dreamthe的博客
08-10 5979
本文章总结fastjson1.2.24到1.2.80所产生的反序列化漏洞,将其进行分析。希望多大家有帮助。
Fastjson漏洞原理分析
LTianHang的博客
06-04 5259
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
FastJson远程命令执行漏洞学习笔记
m0_73257876的博客
09-04 706
fastjson漏洞其实就是fastjson autotype在处理json对象的时候,未对@type字段进行完全的安全性验证,攻击者可以传入危险类,并调用危险类中连接远程主机,通过其中的恶意类执行代码。笔记只做学习记录分享。如有错误,请大家批评指正!
Fastjson漏洞复现
weixin_53747497的博客
03-29 2159
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化Java Bean。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法 来 访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson-1.2.70.rar
06-19
4. **安全更新**:Fastjson持续关注安全问题,1.2.70可能修复了之前版本中发现的安全漏洞,增强了数据安全性。 5. **Bug修复**:此版本可能解决了前一版本存在的已知问题,提高了软件的稳定性。 三、使用Fastjson ...
Fastjson小于1.2.67 UnSerializable RCE分析研究
12-20
总之,理解并防范Fastjson反序列化漏洞对于保障系统的安全性至关重要。开发者应定期更新依赖库,避免使用已知存在问题的版本,并对处理不可信输入时的反序列化操作采取谨慎的策略。同时,对于使用Fastjson的开发者...
CVE-2022-25845 fastjson java反序列化漏洞
mirocky的博客
12-21 1472
在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上可以说是标准的数据交换格式。fastjson 是一个java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse 的性能提升到了极致。它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。
fastjson框架漏洞复现
没有
10-23 2355
fastjson是阿里巴巴开源的json解析库,通常被用于java object和json字符之间进行转换,提供两个方法json.tojsonstring和json.parseobject/json.parse来分别实现序列化与反序列化
Fastjson反序列化漏洞复现(实战案例)
qq_50854662的博客
04-18 1920
Fastjson反序列化漏洞复现(实战案例)
fastjson中的@JSONField注解
北辰
06-21 4682
使用fastjson之前需先引入下述依赖,当前版本为1.2.75 JSONField中的name属性用来指定JSON串中key的名称 序列化测试: 执行上述代码,其输出结果为: 反序列化测试: 执行上述代码,其输出结果为: @JSONField作用在Field时,其name不仅定义了输出的名称,同时也定义了输入key的名称 执行上述代码,其输出结果为: fastjson在进行操作时,是根据getter和setter的方法进行的,并不是依据Field进行 format属
Dependency ‘com.alibaba:fastjson:1.2.75‘not found
hjj666666的博客
09-30 3408
问题: Dependency 'com.alibaba:fastjson:1.2.75’not found 原因: #com.alibaba.fastjson.JSONObjec找不到 解决方法: 一,reload 二 直接进入阿里的镜像仓库:https://maven.aliyun.com/mvn/search 然后搜索fastjson,找到报错的对应版本,例如我需要的是1.2.9这个版本 搜索出了以下这些, 在这里插入图片描述 其下载下来后拷贝进你本地的maven仓库中的com\alibaba\fa
fastjson 1.2.57 版本发布,Bug 修复维护版本
weixin_34417183的博客
04-12 614
开发四年只会写业务代码,分布式高并发都不会还做程序员? >>> fastjson 1.2.57 版本...
fastJson版本bug,亲测有效-2021-06-03
Alotto0的博客
06-03 293
fastJson版本bugfastJosn版本新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 fastJosn版本 1.2.7和1.2.7.5版本调用JSON.parseObject方法的时候都会出现转换失败的情况 最终
解决报错java.lang.TypeNotPresentException: Type javax.xml.bind.JAXBContext not present
Aplumage的专栏
12-15 2554
今天在运行程序的时候,一直报“java.lang.TypeNotPresentException: Type javax.xml.bind.JAXBContext not present”的错误, 代码之前一直没有动过,唯一的改变的就是之前用的是jdk8,昨天卸载了jdk8,重装了jdk12。 百度原因,发现是因为用了jdk12的缘故。因为JAXB-API是java ee的一部分,在jdk12中没有在默认的类路径中。从jdk9开始java引入了模块的概念, 可以使用模块命令–add-modles java
org.springframework.web.util.NestedServletException: Request processing failed
weixin_43085797的博客
06-10 7737
org.springframework.web.util.NestedServletException: Request processing failed; nested exception is org.springframework.web.client.ResourceAccessException: I/O error on GET request for "http://CLOUD-PAYMENT-SERVICE/payment/payment/getPayment/223": CLOUD-PA
fastjson1.2.80漏洞
09-13
fastjson 1.2.80 版本存在一个漏洞,该漏洞被称为 "fastjson 反序列化漏洞"。这个漏洞使得攻击者能够通过构造恶意的 JSON 字符串来执行任意代码,从而导致远程代码执行。 Fastjson 是一个 Java 库,用于处理 JSON 数据。在 fastjson 1.2.80 版本中,存在一个默认的反序列化特性,在处理某些特定类型的反序列化时存在安全漏洞。攻击者可以构造一个特定的 JSON 字符串,通过该字符串触发漏洞,从而执行任意的 Java 代码。 为了防止受到 fastjson 1.2.80 版本漏洞的影响,可以采取以下措施: 1. 升级 fastjson 到最新版本,最新版本已修复了该漏洞。建议使用最新的稳定版本,以确保安全。 2. 尽量避免使用 fastjson 对不受信任的数据进行反序列化操作。如果确实需要进行反序列化操作,请先对数据进行验证和过滤,确保数据的合法性和安全性。 3. 启用 Java安全沙箱机制,限制反序列化操作的权限。这样即使存在漏洞,攻击者也将受到一定的限制。 请注意,此漏洞仅影响 fastjson 1.2.80 版本。如果你使用的是其他版本,或者不使用 fastjson,那么该漏洞对你的应用程序不会产生影响。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值