fastjson 序列化 不包括转义字符_Fastjson小于1.2.68版本反序列化漏洞分析

最新推荐文章于 2022-03-01 21:07:03 发布
最新推荐文章于 2022-03-01 21:07:03 发布
阅读量430 收藏
点赞数
文章标签: fastjson 序列化 不包括转义字符

前言

迟到的Fastjson反序列化漏洞分析,按照国际惯例这次依旧没有放poc。道理还是那个道理,但利用方式多种多样。除了之前放出来用于文件读写的利用方式以外其实还可以用于SSRF。

一、漏洞概述

在之前其他大佬文章中,我们可以看到的利用方式为通过清空指定文件向指定文件写入指定内容(用到第三方库)。当gadget是继承的第一个类的子类的时候,满足攻击fastjson的条件。此时寻找到的需要gadget满足能利用期望类绕过checkAutoType。

本文分析了一种利用反序列化指向fastjson自带类进行攻击利用,可实现文件读取、SSRF攻击等。

二、调试分析

1. 漏洞调试

从更新的补丁中可以看到expectClass类新增了三个方法分别为:

java.lang.Runnable、java.lang.Readable、java.lang.AutoCloseable

首先,parseObject方法对传入的数据进行处理。通过词法解析得到类型名称,如果不是数字则开始checkAutoType检查。

97585797e9013c540128ff2e09ab0b29.png

当传入的数据不是数字的时候,默认设置期望类为空,进入checkAutoType进行检查传入的类。

32ce124ce0b9083fa4280c5dfc17b50a.png

判断期望类,此时期望类为null。往下走的代码中,autoCloseable 满足不在白名单内,不在黑名单内,autoTypeSupport没有开启,expectClassFlag为false。

其中:

A.计算哈希值进行内部白名单校验

B.计算哈希值进行黑名单校验

C.非内部白名单且开启autoTypeSupport或者是期望类的,进行hash校验白名单acceptHashCodes、黑名单denyHashCodes。如果在acceptHashCodes内则进行加载( defaultClassLoader),在黑名单内则抛出 autoType is not support。

13f73efdd3871cbeb03790b539b0d71c.png

满足条件C后来到clazz的赋值,解析来的代码中对clazz进行了各种判断。

从明文缓存中取出autoCloseable赋值给 clazz。

664c2e1cc0ca08bceea694f1c28af2ce.png
43b41f2561e179f9ee47961442a87e97.png

当clazz不为空时,expectClassFlag为空不满足条件,返回clazz,至此,第一次的checkAutoType检查完毕。

f9065bfb847e2675ec1bf8e8f4bb3d06.png

将检查完毕的autoCloseable进行反序列化,该类使用的是JavaBeanDeserializer反序列化器,从MapDeserializer中继承。

4bd8b401f02c7a8ee31fda3f143f4430.png
76674f49feef3d6c483d76ceafb33a6f.png

JSON.DEFAULT_TYPE_KEY 为@type ,并给它赋值传入的key @type ,将第二个类也就是这次 的gadget传入。

5ddf549a076394dba26661c7ea536c73.png

期望类在这里发生了变化,expectClass的值变为java.lang.AutoCloseable,typeName为gadget,

90151c1085be2c5943d5893a5cab47a5.png

来到JSONType注解,取typename gadget转换变为路径,resource通过将 “.” 替换为”/“得到路径 。其实已经开始读取gadget了,它本意应该是加载AutoCloseable。

165fb916d51c28e3790b33434c74e7e2.png

可以看到这里有读取文件的功能。

1d0f052c4ea466617c05848ceed01bd1.png
a5733d86d622d902830d45f99dea1b02.png

isAssignableFrom()这个方法用于判断里面的类是否为继承类,当利用了java.lang.AutoCloseable这个方法去攻击fastjson,那么后续反序列化的链路一定是要继承于该类的子类。

TypeUtils.addMapping(typeName, clazz)这一步成功把gadget加入缓存中并返回被赋值gadget的clazz.

efccc75deafb681bead1cca646becdf6.png

checkAutoType正式检查完毕,此时用deserializer = parser.getConfig().getDeserializer(userType); userType既gadget进行反序列化。

439fe3c2fc6630b5c59185dc7b2a210b.png

进入coreConnect()

7f4e2c269a426e3de585fdfab2b0cfc8.png
187e0be532aa19f4f45129f402e83d26.png

在这里进行连接。至此漏洞利用完结。

2. 总结:

在本次反序列化漏洞中,笔者认为关键点在于找到合适并且可利用的常用jar包中的gadget。gadget在被反序列化后即可执行类里的恶意的功能(不仅限于RCE还包括任意文件读取/创建,SSRF等)。也可以使本漏洞得到最大化的利用。

三、参考考链接

https://b1ue.cn/archives/348.html

https://daybr4ak.github.io/2020/07/20/fastjson%201.6.68%20autotype%20bypass/

weixin_39757743
关注
fastjson反序列化漏洞
scu_hacker博客
02-10 3362
目录 前言 一、漏洞原理 二、漏洞复现 2.1 fastjson<=1.2.24 2.2 1.2.24<=fastjson<=1.2.47 2.2.1在攻击机上编译类 2.2.2 开启rmi和ldap服务 2.2.3 写入poc 参考资料 前言 fastjson是阿里开发的json解析库,可以将java对象解析为json,也可以将json反序列化为java对象,主要用json.parse()方法进行反序列化。 一、漏洞原理 ...
Fastjson反序列化漏洞
m0_67401761的博客
09-11 1万+
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
最新版 fastjson-1.2.68.jar
04-16
最新版 fastjson-1.2.68.jar
Fastjson小于1.2.68漏洞RCE利用exp
热门推荐
LiBai'S BLOG
03-01 1万+
json Exploit.java public class Exploit{ public Exploit() {} static { try { String[] cmds = System.getProperty("os.name").toLowerCase().contains("win") ? new String[]{"cmd.exe","/c", "calc.exe"} ..
fastjson 序列化包括转义字符_Java 反序列化工具 gadgetinspector 初窥 (上)
weixin_39899021的博客
11-20 313
作者:Longofo@知道创宇404实验室时间:2019年9月4日起因一开始是听@Badcode师傅说的这个工具,在Black Hat 2018的一个议题提出来的。这是一个基于字节码静态分析的、利用已知技巧自动查找从source到sink的反序列化利用链工具。看了几遍作者在Black Hat上的演讲视频[1]与PPT[2],想从作者的演讲与PPT中获取更多关于这个工具的原理性的东西,可是...
fastjson 序列化包括转义字符_fastjson黑盒测试与白盒审计
weixin_39988197的博客
11-20 1166
简介与漏洞史java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里,https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对...
fastjson 序列化包括转义字符_fastjson漏洞复现
weixin_39806288的博客
11-19 430
公司的web项目全是java写的,作为java菜鸟,迫不得已来看fastjson漏洞了,但分析是不可能会分析的,只能看看分析文章,复现一下勉强维持生活这样子。1. 背景fastjson是Alibaba开发的,java语言编写的高性能JSON库,采用“假定有序快速匹配”的算法,号称Java语言中最快的JSON库。其项目地址为https://github.com/alibaba/fastjson,其...
fastjson 序列化包括转义字符_Spring Boot Redis 序列化方案的选择
weixin_39826080的博客
11-14 242
本文同步Java知音社区,专注于Java作者:小哥他三叔http://juejin.im/post/5d5e10d2e51d4561b416d487Redis的使用越来越广泛,当遇见性能瓶颈时,我们应该如何去解决呢?Redis序列化方案Spring Boot RedisSpring Boot Data Redis给我们提供了即插即用的体验,大部分默认配置已经满足了我们的需求,而其中序列化方案选择的...
fastjson 序列化包括转义字符_FastJson实现JSON字符串、JSON对象及JavaBean的相互转换...
最新发布
05-15
fastjson 序列化时默认会对字符串中的转义字符进行转义,如果不想转义可以使用 SerializerFeature 来设置: ```java String json = JSON.toJSONString(obj, SerializerFeature.DisableEscapeHtml); ``` 其中,...
FastJson实现序列化
dayan0202的博客
09-01 858
FastJson源码 public static final Object parse(String text); // 把JSON文本parse为JSONObject或者JSONArray public static final JSONObject parseObject(String text); // 把JSON文本parse成JSONObject public static final <T> T parseObject(String text, Class<T>
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}] 数组里面封装数组的反序列化方法,通过两个bean,进行封装
fastjson小技巧——使用fastjson对枚举的序列化,返回属性code/desc等——一看就会
可乐多点冰的博客
09-03 7460
场景: 在使用JSONObject.toJSONString(qsm)时,默认是打印枚举的name(),也就是枚举字面常量。有时候,返回前端,只想返回枚举里面的属性,比如代码标识code,或者描述,这样前端就不需要再存一套枚举与后端对应了。 思路: 可以将原本的枚举类型的属性不参与序列化反序列化,再使用一个getter、setter方法来偷梁换柱的使用枚举值。这样就可以达到我们想要的效果。 举例说明: public class LogController { public static void
fastjson深度源码解析- 序列化(二) - 序列化字节和字符串解析
商宗海的博客
02-04 2187
SerializeWriter成员函数 序列化16进制字节数组 public void writeHex(byte[] bytes) { /** 计算总共字符长度, 乘以2 代表一个字符要占用2字节, 3代表要添加 x 和 前后添加' */ int newcount = count + bytes.length * 2 + 3;
【Java】FastJson如何返回不带转义字符的json字符串
李维山的博客
12-28 7292
一开始使用 JSONObject.toJSONString() 把json对象转为json字符串,但是在进行kafka进行消费的时候,发现接收到的json总是带转义字符,处理起来比较麻烦 于是使用如下方法,先转为Object对象,再转为字符串: JSONObject.toJSON(jsonObject).toString(); ...
fastjson 序列化包括转义字符_Fastjson 反序列化漏洞自动化检测
weixin_39542936的博客
10-24 395
fastjson 是 java 中常用的一个用来序列化反序列化 JSON 数据的库。因其优异的性能表现,在 java web 开放中应用比较广泛。最近需要写一个 fastjson 的检测插件,稍微研究了一下后,感觉有一个比较不错的检测方法,在这里和大家分享下。在文章开始之前我想说明一点这里介绍的是检测方法而不是利用方法。这是两个不同的目标实现这两个目标需要考虑的细节也是不同的。在做漏洞检测时尤其是...
Fastjson反序列化高危漏洞系列-part2:1.2.68反序列化漏洞及利用链分析 (上)
mole_exp的博客
01-17 3089
文章目录前言 前言 本文是对fastjson高危漏洞的一次整理,包括漏洞调试、PoC构造和补丁分析。 上一篇传送门:Fastjson反序列化高危漏洞系列-part1:1.2.x — 1.2.47
Fastjson远程代码执行漏洞通告
爱国小白帽
05-28 2537
Fastjson远程代码执行漏洞通告 360-CERT [三六零CERT](javascript:void(0)???? 今天 0x00 漏洞背景 2020年05月28日, 360CERT监测发现业内安全厂商发布了Fastjson远程代码执行漏洞的风险通告,漏洞等级:高危。 Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson存在远程代码执行漏洞,autotype
Fastjson < 1.2.68版本反序列化漏洞分析
程序猿DD
10-22 2027
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!作者 |ale_wong@云影实验室来源 |https://www.anquanke.com/post...
fastjson 序列化包括转义字符_FASTJSON反序列化和构造函数之间的一点小秘密
weixin_39798943的博客
11-17 268
推荐阅读:学会这些微服务+Tomcat+NGINX+MySQL+Redis,再去面试阿里P7岗吧“火爆”的微服务架构你还不会?从基础到原理的PDF文档快来学!阿里架构师精选Spring Cloud+JVM+MySQL+分布式缓存PDF文档分享FastJson想必大家都很熟悉了,很常见的Json序列化工具。今天在下要和大家分享一波FastJson反序列化和构造函数之间的一点小秘密。 下面先进入大家都...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值