fastjson xml转json_原创 | 在XML中测试Fastjson反序列化

最新推荐文章于 2024-08-11 01:45:18 发布
最新推荐文章于 2024-08-11 01:45:18 发布
阅读量1.3k 收藏
点赞数
文章标签: fastjson xml转json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35799467/article/details/113582097
版权
1ebb1bc9c8d5c400f5be114ae4582d30.gif点击上方蓝字 关注我吧 6523cda4aee295e29973d1349130bb98.gif 引言 6523cda4aee295e29973d1349130bb98.gif 在实际业务开发中,经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能,按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传输的数据,最容易想到的就是XXE攻击了。通过XXE的利用,可以达到以下的目的:
  • 敏感信息泄漏(使用file协议读取敏感文件、列目录)
  • 递归调用造成拒绝服务攻击
  • SSRF
  • 在php开启expect拓展的前提下可能会导致远程代码执行
  • ……

在一定条件下是可以达到RCE的效果的,但是远不及任意文件上传和反序列化等漏洞那么粗暴。以下是记一次内部安全测试中的相关过程。 6523cda4aee295e29973d1349130bb98.gif

在XML中测试Fastjson反序列化

6523cda4aee295e29973d1349130bb98.gif
目标主要的交互方式是以 Content-Type:application/xml;charset=UTF-8 的方式进行请求的,主要以xml的方式进行数据传输。最先想到的就是通过引入外部实体的方式进行XXE的检测。但是比较可惜禁用了。

bf83a13322a8ae20b67dbfeecb71543e.png

另寻出路,看看有没有类似上传的功能点,比较幸运的是在文件操作功能处找到了任意文件下载的缺陷,这里尝试下载相关代码进行审计,看看有没有别的突破口。下载源码的过程可以参考https://sec-in.com/article/537。
系统是通过jar启动部署的,基于springboot进行开发。拿到代码后习惯性的看了一下导入的组件,引入的fastjson版本为1.2.24,还是那个熟悉的配方: 
<dependency>  <groupId>com.alibabagroupId>  <artifactId>fastjsonartifactId>  <version>1.2.24version>dependency>


在Spring中@RequestBody主要用来接收前端传递给后端的json字符串中的数据的,既然使用了fastjson依赖,那么猜

最低0.47元/天 解锁文章
陈后主
关注
xmljson(dom4j + fastjson
lanying100的博客
04-23 2451
xml -> dom4j -> element -> fastjson -> JSONObject/JSONArray -> json
FastJson==xmljson格式互工具类
卓越之识论道,平常之识论事,狭隘之识论人
05-08 1699
FastJson==xmljson格式互工具类
科普文:Java基础系列之【字节码应用案例Fastjson反序列化漏洞】
为无为,事无事,味无味。
08-11 1076
transform方法利用Java的反射机制进行函数调用,传入的参数是input是一个实例化对象,利用这个方法便可以调用任意对象的任意方法(exec)从而执行命令,所以在DeSertPoc类里新建Transformer,最后组成的核心表达式为:((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("whoami");基于TemplateImpl的方法可以直接执行bytecodes。
xmljson
m0_63592293的博客
02-02 905
xmljson
fastjson xmljson_在XML测试Fastjson反序列化
weixin_34379608的博客
01-22 3425
本文来自SecIN社区—作者:tkswifty 引言 在实际业务开发,经常会对xml或者json类型的请求数据进行解析。例如微信扫码支付的功能,按照微信开发文档与支付平台进行数据交互就需要使用XML格式的数据。针对XML传输的数据,最容易想到的就是XXE攻击了。通过XXE的利用,可以达到以下的目的:敏感信息泄漏(使用file协议读取敏感文件、列目录)递归调用造成拒绝服务攻击SSRF在php开启...
java 使用 fastJson dom4j 包 xml json
qq_33601179的博客
04-15 2613
废话 网上教程一大堆,简单直接能用的,不多,各种都是解析出来千奇百怪,后来研究了一下,主要问题其实就出在于xml文件,一个节点是对象还是列表,这个不太好区分,如果本身是列表,但是这个列表只有一条数据,这种情况就是容易误判了。 json xml 的这里就忽略了,没难度,网上随便一搜一大堆。 导包 <dependency> <groupId>dom4j</groupId> <artifactI
SpringBoot Redis配置Fastjson进行序列化和反序列化实现
10-16
这里,我们为`value`和`hashValue`设置了Fastjson序列化器,而`key`和`hashKey`使用了默认的`StringRedisSerializer`,因为Redis的key通常为字符串。 **3. 示例实体类** 为了演示序列化和反序列化的效果,我们可以...
Fastjson工具进行JSON序列化
最新发布
09-01
JSON(Java Script Object ...重点说明了工具类fastjson 是怎么实现 JSON 的序列化和反序列化的。 首先你要确保在项目已经添加了Fastjson的依赖包,否则需要手动添加。如果是Maven项目,可以在pom.xml添加依赖;
springmvc fastjson 反序列化时间格式化方法(推荐)
10-20
在Spring MVCFastjson是一个常用的JSON库,用于序列化和反序列化Java对象。当我们在处理日期时间字段时,可能会遇到反序列化时日期格式不一致的问题,导致默认显示为时间戳。本文将详细介绍两种解决Spring MVC...
fastjson-1.2.70_JSON_
09-28
它的设计目标就是追求极致的速度,无论是解析还是序列化,都能在极短的时间内完成。这得益于其高效的算法和优化的内存管理,使得在处理大量JSON数据时,Fastjson表现得非常出色。 其次,Fastjson提供了丰富的API,...
xmljson包与教程
05-11
在Java开发,将XML换为JSON是常见的需求。这个压缩包“xmljson包与教程”提供了相关的类库和教程,帮助开发者完成这一任务。下面将详细介绍这个过程的关键知识点: 1. **XML解析器**:在Java,处理XML...
通过fastjson实现各种格式与json之间的
03-22
通过fastjson实现了JavaBean,list,MAP,list等格式与json格式之间的换,已经附带fastjson的包,包的版本为fastjson-1.1.36.jar
fastjson,方便json
12-30
实现json换,fastjson json json换,可以帮助开发涉及json格式处理的程序猿。
XmlJson工具类
04-17
本实例主要是通过json-libjar包的工具类进行操作,简单实现了xml字符串和json字符串之间的化,xml文件和json文件的化。而且还兼容jsonObject和jsonArray两种格式,自己摸索,记录一下以便学习。
FastJSON 提供的一种数据json格式
weixin_34026484的博客
03-17 141
步骤一: 导入jar 步骤二: 不管是 user map<> 和list<>都使用 json.toJsonString()方法 步骤三.:如需正向过滤出需要的属性: 使用 SimpleProperPreFilter 方法 参数是 需用的属性 如需反向去掉不需要的属性: 使用Propert...
xmljson互相
焱的博客
06-15 6448
package com.sf.vsolution.cloud.msg.xmlconvert; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONArray; import com.alibaba.fastjson.JSONObject; import org.dom4j.*; import java.util.L...
xml数据换为json对象
weixin_43950072的博客
01-16 8345
本文在上文的基础上,讲解如何将xml数据化为json对象!!话不多说,直接上代码!!
Xmljson
Mr.xing的博客
09-01 619
Xmljson
for xml path 截断_每天一个入坑小技巧:文件操作 Xml化成Json的三种方式
weixin_39984578的博客
11-28 161
Xml化成json的三种方式:方法一: 使用json-lib框架, 需要的依赖包比较多1 、这里通过Class的getResourceAsStream方法获得指定文件的输入流,这里指定参数没有带/,表示Test类与xml文件在同一级目录下,如果有/那么是从根目录进行获取的2 、之后利用IOUtils的toString方法将该输入流化为xml格式的字符串输出,调用XMLSerializer的re...
快速解析与序列化:FastJSON Java JSON工具库详解
本文档详细讲解了Fastjson的接口结构,例如其核心包com.alibaba.fastjson.JSON的方法,以及如何通过User和Group这两个示例类展示数据的序列化和反序列化。 在Fastjson的使用,首先定义了两个类:User和Group。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值