FastJson反序列化漏洞利用的三个细节 - TemplatesImpl的利用链

最新推荐文章于 2024-05-20 12:42:00 发布
最新推荐文章于 2024-05-20 12:42:00 发布
阅读量671 收藏 1
点赞数
文章标签: json java
原文链接:http://www.cnblogs.com/wszme/p/9568460.html
版权

0. 前言

记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题。

1. TemplatesImpl的利用链

关于 parse 和 parseObject

FastJson中的 parse() 和 parseObject()方法都可以用来将JSON字符串反序列化成Java对象,parseObject() 本质上也是调用 parse() 进行反序列化的。但是 parseObject() 会额外的将Java对象转为 JSONObject对象,即 JSON.toJSON()。所以进行反序列化时的细节区别在于,parse() 会识别并调用目标类的 setter 方法及某些特定条件的 getter 方法,而 parseObject() 由于多执行了 JSON.toJSON(obj),所以在处理过程中会调用反序列化目标类的所有 setter 和 getter 方法。parseObject() 的源代码如下:

public static JSONObject parseObject(String text) { Object obj = parse(text); if (obj instanceof JSONObject) { return (JSONObject) obj; } return (JSONObject) JSON.toJSON(obj); }

举个简单的例子:

public class FastJsonTest {

    public String name; public String age; public FastJsonTest() throws IOException{ } public void setName(String test) { System.out.println("name setter called"); this.name = test; } public String getName() { System.out.println("name getter called"); return this.name; } public String getAge(){ System.out.println("age getter called"); return this.age; } public static void main(String[] args) { Object obj = JSON.parse("{\"@type\":\"fastjsontest.FastJsonTest\",\"name\":\"thisisname\", \"age\":\"thisisage\"}"); System.out.println(obj); Object obj2 = JSON.parseObject("{\"@type\":\"fastjsontest.FastJsonTest\",\"name\":\"thisisname\", \"age\":\"thisisage\"}"); System.out.println(obj2); } }

上述代码运行后可以看到,执行parse() 时,只有 setName() 会被调用。执行parseObject() 时,setName()、getAge()、getName() 均会被调用。

为什么会触发getOutputProperties()

感觉上 parse() 进行反序列化创建Java类应该只会调用 setter 方法进行成员变量赋值才对,会什么会触发TemplatesImpl类中的 getOutputProperties() 方法呢?

另外 _outputProperties 成员变量和 getOutputProperties() 明明差了一个_字符,是怎么被 FastJson 关联上的?

如上一小节所述,parse() 进行反序列化时其实会调用某些特定的 getter 方法进行字段解析,而 TemplatesImpl类中的 getOutputProperties() 方法恰好满足这一条件。

FastJson反序列化到Java类时主要逻辑如下:

  1. 获取并保存目标Java类中的成员变量、setter、getter。
  2. 解析JSON字符串,对字段逐个处理,调用相应的setter、getter进行变量赋值。

我们先看第一步,这里由 JavaBeanInfo.build() 进行处理,FastJson会创建一个filedList数组,用来保存目标Java类的成员变量以及相应的setter或getter方法信息,供后续反序列化字段时调用。

filedList大致结构如下:

[
    {
        name:"outputProperties",
        method:{
            clazz:{},
            name:"getOutputProperties",
            returnType:{},
            ...
        }
    }
]

FastJson并不是直接反射获取目标Java类的成员变量的,而是会对setter、getter、成员变量分别进行处理,智能提取出成员变量信息。逻辑如下:

  1. 识别setter方法名,并根据setter方法名提取出成员变量名。如:识别出setAge()方法,FastJson会提取出age变量名并插入filedList数组。
  2. 通过clazz.getFields()获取成员变量。
  3. 识别getter方法名,并根据getter方法名提取出成员变量名。

可以看到在 JavaBeanInfo.build() 中,有一段代码会对getter方法进行判断,在某些特殊条件下,会从getter方法中提取出成员变量名并附加到filedList数组中。而TemplatesImpl类中的 getOutputProperties() 正好满足这个特定条件。getter方法的处理代码为:

JavaBeanInfo.java

public static JavaBeanInfo build(Class<?> clazz, Type type, PropertyNamingStrategy propertyNamingStrategy) { ... for (Method method : clazz.getMethods()) { // getter methods String methodName = method.getName(); if (methodName.length() < 4) { continue; } if (Modifier.isStatic(method.getModifiers())) { continue; } if (methodName.startsWith("get") && Character.isUpperCase(methodName.charAt(3))) { if (method.getParameterTypes().length != 0) { continue; } // 关键条件 if (Collection.class.isAssignableFrom(method.getReturnType()) // || Map.class.isAssignableFrom(method.getReturnType()) // || AtomicBoolean.class == method.getReturnType() // || AtomicInteger.class == method.getReturnType() // || AtomicLong.class == method.getReturnType() // ) { String propertyName; JSONField annotation = method.getAnnotation(JSONField.class); if (annotation != null && annotation.deserialize()) { continue; } if (annotation != null && annotation.name().length() > 0) { propertyName = annotation.name(); } else { propertyName = Character.toLowerCase(methodName.charAt(3)) + methodName.substring(4); } FieldInfo fieldInfo = getField(fieldList, propertyName); if (

转载于:https://www.cnblogs.com/wszme/p/9568460.html

weixin_33853794
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Fastjson序列漏洞史1
08-03
然而,Fastjson在过去的几年里曾曝出一系列的序列漏洞,这些漏洞可能被攻击者利用,执行任意代码,从而对系统安全构成威胁。 在2020年5月8日的分析中,文章提到了Fastjson序列漏洞的历史,并对一些关键的...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
"fastjson-rce-exploit"正是针对Fastjson中的一个严重安全漏洞——远程代码执行(RCE)的利用方法。这个漏洞的存在,使得攻击者有可能通过精心构造的JSON输入,执行任意的远程代码,对目标系统造成严重的危害。 ...
Fastjson序列漏洞(自学)
m0_64481831的博客
03-04 1091
Fastjson是Java的一个库,可以将Java对象转为JSON格式的字符串,也可以将JSON格式的字符串转为Java对象。Fastjson调用toJSONString()方法即可将对象转换成JSON字符串,parseObject()方法将JSON字符串转换成对象。Fastjson是Java的一个库,调用toJSONString方法将对象转换成字符串,调用parseObject方法将字符串转换为对象。
漏洞复现 - - - Fastjson序列漏洞
weixin_67503304的博客
08-25 6292
简单讲解Fastjson序列漏洞,简单讲述漏洞利用shell
Fastjson漏洞之CVE-2017-18349
最新发布
GalaxySpaceX的博客
05-20 1177
Fastjson漏洞之CVE-2017-18349
利用TemplatesImpl加载字节码
Thunderclap的博客
02-06 390
调用了 TemplatesImpl#newTransformer() 并且它也是 public 类型的,如下也成功触发。TemplatesImpl 类中已经没有调用 getTransletClasses() 的方法了,而 getTransletInstance() 方法在。com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl 这个类中定义了一个内部类。Java中默认情况下,如果一个。方法中被调用了,所以构造如下链,P牛用的就是如下的链。
TemplatesImpl在Shiro中的利用
Le1a's Blog
03-23 3047
TemplatesImpl在Shiro中的利用 文章首发自: https://www.le1a.com/posts/6e876d26/ 前言 前面学习了CC1、CC3和CC6,其中CC6是不限制版本的一条链,那么为什么还要用到TemplatesImpl这条链呢?不妨我们设想一下:命令执行和代码执行到底谁更有价值? 例如在PHP中会遇到一个场景,call_user_func和eval都能造成的代码执行,而更多的人愿意使用eval,原因是call_user_func在某种情况下会被限制不能使用assert和sy
templateslmpl利用
qq_62046696的博客
03-13 377
cc3Jdk版本:调用AnnoctionInvocationHandler中的版本需要在,
Java-Deserialization-Cheat-Sheet:关于Java序列漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列库中的序列漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
Fastjson各版本序列EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson序列漏洞为例 1、此时/tmp目录 ![img]...
java 序列利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
marshalsec命令格式如下: java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
Fastjson序列漏洞原理与复现
FisrtBqy的博客
05-15 3323
Ffasjson序列漏洞原理与复现
fastjson序列漏洞_Fastjson序列漏洞的检测和利用
weixin_39517241的博客
11-30 2213
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson序列漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson序列漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01序列原理Fastjson序列,...
fastjson序列漏洞
qq_63980959的博客
03-01 1257
Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列为JSON字符串,也可以从JSON字符串序列到JavaBean。​ fastjson序列与weblogic、shiro序列类似,在客户端将json数据进行序列传送至服务端后,服务端会将其序列读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
fastjson序列漏洞学习(一)
一剑开天门!的博客
02-10 3667
Fastjson 序列漏洞产生的原因通常是由于 Fastjson 库在序列 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
Fastjson序列漏洞
yyj1781572的博客
04-13 1901
Fastjson是阿里巴巴公司开源的一款json解析器,其性能优越,被广泛应用于各大厂商的Java项目中。fastjson于1.2.24版本后增加了序列白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
FastJson序列漏洞(复现)
小赵同学的博客
07-29 3909
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用漏洞进一步的对服务器数据进行操作。......
Fastjson 序列漏洞
m0_65150886的博客
10-10 628
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用Fastjson于1.2.24版本后增加了序列白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Fastjson序列漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3044
Fastjson是一个JSON工具库,它的作用就是把java对象转换为json形式,也可以用来将json转换为java对象。@type引入这个功能的目的是在序列的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在序列的时候就不需要再指定类名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值