[Java安全]Fastjson>=1.2.36$ref引用可触发get方法分析

最新推荐文章于 2024-03-11 16:00:55 发布
最新推荐文章于 2024-03-11 16:00:55 发布
阅读量1.8k 收藏 2
点赞数 7
分类专栏: 安全学习 # Java代码审计 # 我的JAVA学习之路 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/solitudi/article/details/120275526
版权

文章目录

写在前面

平时我们在处理fastjson反序列化的时候,如果我们想要执行属性的get方法,而如果只有JSON.parse怎么办
我们知道JSON.parse可以套一层parseObject实现对get方法的调用,但说这个也没有必要继续本篇的介绍了,这里介绍另一种,废话不多说开始分析

JSONPath语法

看文档https://goessner.net/articles/JsonPath/,重点关注下这个
在这里插入图片描述

利用演示

人比较不老实,喜欢骚东西,这里执行下命令

public class Test {
    private String cmd;

    public String getCmd() throws IOException {
        Runtime.getRuntime().exec(cmd);
        return cmd;
    }

    public void setCmd(String cmd) {
        this.cmd = cmd;
    }
}

触发

    public static void main(String[] args) {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        String payload = "[{\"@type\":\"com.yyds.Test\",\"cmd\":\"calc\"},{\"$ref\":\"$[0].cmd\"}]";
        Object o = JSON.parse(payload);
    }

最爱的计算器
在这里插入图片描述

$ref引用触发get方法分析

简简单单引入依赖

<dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.36</version>
</dependency>

老规矩拉到底,看看调用栈再分析
在这里插入图片描述
跟进handleResovleTask函数
在这里插入图片描述
获取$ref在这里插入图片描述
至于如果你问在哪里设置的在DefaultJSONParser#parse()
在这里插入图片描述

ok,不说废话,继续看下去,满足条件跟进
在这里插入图片描述
这里面没有返回null
在这里插入图片描述
接下来重点来了,我们看看JSONPath.eval函数干了什么
在这里插入图片描述
跟进compile
在这里插入图片描述

根据path生成并返回一个JavaPath对象
在这里插入图片描述
继续看看eval
在这里插入图片描述
这里有一个init函数执行
在这里插入图片描述
我们重点关注这个explain函数,把$refvalue解析成Segment,这个Segment是定义在JSONPath类的一个接口,具体看他的过程
在这里插入图片描述
这里初始化长度是8很好奇吗在这里插入图片描述
因为实现segment接口的类只有八个

在这里插入图片描述
ok,继续看看这个readSegement,获取.后面的值在这里插入图片描述
这里通过readName获取到cmd
这里
内部实现靠循环追加到StringBuilder后面
在这里插入图片描述
后面通过浅拷贝赋值返回在这里插入图片描述
接下来按顺序执行前面explain生成的Segment array

在这里插入图片描述
跟进JSONPath.getPropertyValue
在这里插入图片描述
继续跟进
在这里插入图片描述
跟进

在这里插入图片描述
后面就是用反射调用get方法了
在这里插入图片描述
在这里插入图片描述
分析完毕

解释为什么1.2.36前的版本不行

我们知道关键在于JSONPath.eval方法的调用
我们来对比一下,前为1.2.36版本,后为1.2.35版本
在这里插入图片描述

在这里插入图片描述
限制了refValue的值不能为null,并且必须是JSONObject对象,那就结束了

Y4tacker
关注
  • 7
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java使用FastJson封装数据出现$ref解决
qiaodaima0的博客
11-09 8121
直接先上问题吧: 我定义了一个接口,数据以Json格式返回,我往Json对象填充的List对象集合在输出的数据中大量展示成 $ref 然后就网上查找以及找FastJson的官方说明书知道的问题出现的原因 原因——我的理解 是FastJson在对集合对象进行添加的时候,对于引用重复的某一快内存地址,默认开启了Fastjson 循环引用。 说白了,就是你的集合对象中,有一部分对象的属性。其值是一样的,比如我的List中有多个UserVo对象都有一个相同的String类型的deptName值,那么Fast
java返回json数据$ref循环引用错误解决办法
kingts5007的专栏
12-16 3102
在controller 中, 引用方法,返回一个json对象 Map<String, Object> data = customService.loadindividualStyle(searchMap);(该方法中 for 循环封装实体类, 重复封装了一个 对象,) 遇到问题, 返回的json对象出现$ref{对象,地址值,} 例如上述情况造成对象循环引用 fastjson有循环引用机制,返回的json对象出现$ref{对象,地址值,} 解决办法: 忽略循环引用,但是这...
java中解决 “$ref“: “$.value.data[0].node“
weixin_73008443的博客
10-30 534
检查 JSON 数据的结构:确保 JSON 数据中包含了名为 "value" 的键,并且其值是一个对象。使用合适的 JSON 库:Java 有多个流行的 JSON 库可供选择,如 Jackson、Gson、Fastjson 等。执行 JSON Pointer 表达式:使用库提供的方法,根据指定的 JSON Pointer 表达式获取到所需的值。配置 JSON 库以支持 JSON Pointer:有些 JSON 库可能需要进行额外的配置才能正确处理 JSON Pointer 表达式。
JavaJSON引用相同的对象变为"$ref":问题的分析与解决
林临的博客
09-27 5816
JavaJSON引用相同的对象变为"$ref":的分析与解决 后台返回给前端的数据一般是JSON格式的,使用com.alibaba.fastjson时,在把后台的响应数据转化为JSON格式时,具有相同引用的对象会变成"ref":"ref": "ref":".list[0]",导致前端解析出现错误。 问题重现 先定义一个类People People有四个变量,分别是编号、姓名、年龄和喜欢的人,其...
Java 对象序列化 JSON时,数据出现引用结构 $ref
weixin_40918145的博客
03-18 734
// 获取每天/每个月/每年新增数量 近7天 近30天 近365天 public Map<String, Object> getNewAddCount(HttpServletRequest request) { Map<String, Object> map = new HashMap<String, Object>(); String day =...
fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson-1.2.83.jar下载
04-18
fastjson-1.2.83.jar下载,fastjson是阿里巴巴的开源JSON解析库,可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也支持从JSON字符串反序列化到JavaBean。fastjson采用全新的JSON解析算法,运行速度极快...
fastjson-1.2.76.jar
06-29
fastjson-1.2.76.jar
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
fastjson-1.2.70.jar.zip
03-21
《深入解析Fastjson-1.2.70.jar:Java高效JSON处理库》 Fastjson是阿里巴巴开源的一款高性能的JSON库,它为Java开发者提供了一种快速、灵活且功能强大的解决方案,用于处理JSON数据。Fastjson-1.2.70.jar是其在1.2....
java json循环引用,FastJson中“$ref 循环引用”的问题
weixin_32273559的博客
03-13 515
在前几天的时候,我使用fastjson的时候,发现一个问题,就是如果一个集合里面添加相同的一个对象,然后将集合转化为对应的json字符串,发送到页面去解析的时候,发现只能够读出第一个对象,后面的对象就读不出来,页面上显示的代码:从页面图片我们可以看到,添加了重复的seller之后,只有第一个可以正常显示,后面的都是显示为$ref:"$.rows[0].seller",出现这种现象的原因是fastj...
JAVA 使用FastJson转换时出现$ref
最新发布
liyayou的博客
03-11 451
例如 map[0] 的值是["aa","bb"],如果map[1]的值是["bb","cc"],其中的"bb"其实跟map[0]的"bb"是同一个对象,所以在转换的时候map[1]的值会出现$ref。我在转换Map
javajson对象去重复_解决FastJson中"$ref重复引用"的问题方法
weixin_39589693的博客
02-26 430
解决FastJson中"$ref重复引用"的问题,先来看一个例子吧:public static void main(String[] args) {UserGroup userGroup = new UserGroup().setName("UserGroup");User user = new User("User");for (int i = 0; i < 3; i++) {userGr...
fastjson:对象转化成json出现$ref
doublepg13的博客
01-11 1439
我们可以将List中的对象使用BeanUtil这样的工具,拷贝为新的对象。(BeanUtil创建出来的对象跟原来的对象不是同一个对象)但是因为全局配置是在我们项目的基础jar包中配置的,改动基础jar包会有风险,会对前面所有的依赖项目产生影响。所以也不采用这种方式。:即A对象引用B对象,B对象又引用A对象,这种情况是要极力避免的,因为会导致堆栈溢出(StackOverflowError);如果循环引用的数据,前端用不到,那可以在实体类对应的字段加注解禁止序列化,这样前端就不会接收到这个字段的引用数据了。
FastJson和get方法的问题
酒中仙的专栏
08-01 8337
fastJson转化为字符串时其中的key的决定因素: 在项目过程中使用FastJson发现其序列化对象为Json字符串的时候是依赖getXX方法的,即将所有get开头的方法后xx都会变成json字符串中的一个key。即key是依赖get方法。 Gson在这方面则完全是依赖于属性的,和get/set方法无关 问题: 但是却没有提供方法层面对哪些序列化和非序列化的控制(只能作用在属性上进行控...
Java代码审计——Fastjson TemplatesImpl调用链
王嘟嘟的博客
12-09 2617
0x00 前言 反序列化总纲 除开jdbc调用链,还有一个TemplatesImpl的调用链,这个在CC链中是出现过的。可以参考:调用链 主要的要点在满以下三个变量 _bytecodes _name _tfactory 还有就是调用newTransformer的方法 0x01 调用链 先上poc: final String CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"; ParserConfig conf
又被 fastjson 坑了?它调用了我自定义的 get 方法
明明如月的技术博客
05-18 987
最近看到又有同学被 fastjson 坑了。该同学在类中自定义了 get 方法,在该 get 方法引用了一个对象,由于某段代码中 “没有用到”该方法就没注入,最后出现了空指针。由于自己确定没有主动调用这个方法,排查了半天,借助 arthas 看 trace 才发现这个坑。
Fastjson反序列化
热门推荐
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
fastjson <= 1.2.80 反序列化任意代码执行漏洞
09-02
fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖≤1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次发现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2. 在1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson <= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值