[Java安全]Fastjson>=1.2.36$ref引用可触发get方法分析

写在前面

平时我们在处理fastjson反序列化的时候,如果我们想要执行属性的get方法,而如果只有JSON.parse怎么办
我们知道JSON.parse可以套一层parseObject实现对get方法的调用,但说这个也没有必要继续本篇的介绍了,这里介绍另一种,废话不多说开始分析

JSONPath语法

看文档https://goessner.net/articles/JsonPath/,重点关注下这个
在这里插入图片描述

利用演示

人比较不老实,喜欢骚东西,这里执行下命令

public class Test {
    private String cmd;

    public String getCmd() throws IOException {
        Runtime.getRuntime().exec(cmd);
        return cmd;
    }

    public void setCmd(String cmd) {
        this.cmd = cmd;
    }
}

触发

    public static void main(String[] args) {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
        String payload = "[{\"@type\":\"com.yyds.Test\",\"cmd\":\"calc\"},{\"$ref\":\"$[0].cmd\"}]";
        Object o = JSON.parse(payload);
    }

最爱的计算器
在这里插入图片描述

$ref引用触发get方法分析

简简单单引入依赖

<dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.36</version>
</dependency>

老规矩拉到底,看看调用栈再分析
在这里插入图片描述
跟进handleResovleTask函数
在这里插入图片描述
获取$ref在这里插入图片描述
至于如果你问在哪里设置的在DefaultJSONParser#parse()
在这里插入图片描述

ok,不说废话,继续看下去,满足条件跟进
在这里插入图片描述
这里面没有返回null
在这里插入图片描述
接下来重点来了,我们看看JSONPath.eval函数干了什么
在这里插入图片描述
跟进compile
在这里插入图片描述

根据path生成并返回一个JavaPath对象
在这里插入图片描述
继续看看eval
在这里插入图片描述
这里有一个init函数执行
在这里插入图片描述
我们重点关注这个explain函数,把$refvalue解析成Segment,这个Segment是定义在JSONPath类的一个接口,具体看他的过程
在这里插入图片描述
这里初始化长度是8很好奇吗在这里插入图片描述
因为实现segment接口的类只有八个

在这里插入图片描述
ok,继续看看这个readSegement,获取.后面的值在这里插入图片描述
这里通过readName获取到cmd
这里
内部实现靠循环追加到StringBuilder后面
在这里插入图片描述
后面通过浅拷贝赋值返回在这里插入图片描述
接下来按顺序执行前面explain生成的Segment array

在这里插入图片描述
跟进JSONPath.getPropertyValue
在这里插入图片描述
继续跟进
在这里插入图片描述
跟进

在这里插入图片描述
后面就是用反射调用get方法了
在这里插入图片描述
在这里插入图片描述
分析完毕

解释为什么1.2.36前的版本不行

我们知道关键在于JSONPath.eval方法的调用
我们来对比一下,前为1.2.36版本,后为1.2.35版本
在这里插入图片描述

在这里插入图片描述
限制了refValue的值不能为null,并且必须是JSONObject对象,那就结束了

fastjson <= 1.2.80 存在反序列化任意代码执行漏洞。该漏洞利用黑白名单防御机制的绕过,即使autoType关闭也可能导致远程命令执行漏洞。这个漏洞的利用门槛较低,可以绕过默认限制攻击远程服务器,风险影响较大。建议fastjson用户立即采取安全措施来保护系统安全。对受影响的特定依赖≤1.2.80的情况下会有影响。为了解决这个问题,可以采取以下几种安全措施: 1. 升级到最新版本1.2.83,该版本修复了此次发现的漏洞。注意,该版本中涉及autotype行为变更,可能在某些场景下存在不兼容情况。如果遇到问题,可以到fastjson的Github页面寻求帮助。 2. 在1.2.68及之后的版本中引入了safeMode,可以通过配置safeMode来关闭autoType功能。这样无论是白名单还是黑名单,都不支持autoType,可以防止反序列化Gadgets类的变种攻击。但是请注意,在关闭autoType之前要充分评估对业务的影响。具体的配置方法可以参考fastjson的Wiki页面。 3. 考虑升级到fastjson v2版本,可以参考fastjson的Github页面了解相关信息。 总结起来,为了解决fastjson <= 1.2.80 反序列化任意代码执行漏洞,建议采取上述的安全措施,包括升级到最新版本、配置safeMode关闭autoType功能或者考虑升级到fastjson v2版本。这样可以防止漏洞的利用,并提升系统的安全性。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [fastjson1.2.8 反序列化远程代码执行漏洞](https://download.csdn.net/download/xiazai_ceshi/18466350)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [fastjson <= 1.2.80 反序列化任意代码执行漏洞](https://blog.csdn.net/qq_18209847/article/details/124952791)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值