onload的实体化编码_小白都能看懂的JSON反序列化远程命令执行

最新推荐文章于 2023-07-27 18:47:27 发布
最新推荐文章于 2023-07-27 18:47:27 发布
阅读量165 收藏
点赞数
文章标签: onload的实体化编码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39946767/article/details/113958032
版权

*本文原创作者:TopScrew,本文属FreeBuf原创奖励计划,未经许可禁止转载

前言

Fastjson是一个由阿里巴巴维护的一个json库。它采用一种“假定有序快速匹配”的算法,是号称Java中最快的json库。Fastjson接口简单易用,已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。今天我们就以最详细的姿势,一步步分析一下FastJson的远程命令执行!

0x01序列化

先熟悉一下FastJson的用法,毕竟连用法都不会怎么分析漏洞。下面用在最简单的示例快速入门一下FastJson

8078c1d8992f9d1ebb81f62c9707a822.png

简单创建了一个实体bean,并set了两个属性值。进行简单的序列化,看看序列化后是不是变成了我们想要的东西。至于WriteClassName的作用,序列化时写入类型信息,默认为false。反序列化是需用到。

d7b6e3f14c4b065af96728d8eb4f0c46.png

此时,已经非常完美的序列化成了我们常见的json数据。而加了WriteClassName属性的序列化,多了一个@type,也就是我们当时创建的那个实体对象。

0x02反序列化

反序列化的用法也比较简单,也就是将toJSONString换成parseObject即可。第一个参数是json字符串,第二个参数就是前面说到的@type实体对象。

d4803b8d6f425f5e6db648543fe01bb3.png

成功的将字符反序列化位了实体对象。

b442180df826b11369a2754c1b099214.png

0x03静态分析

分析漏洞最好的方式就是看看他到底做了什么防御,从他的补丁入手。

63be8704f973eebdc675996d602e90c1.png

dc33ebaeffa60df3a24bde9e1efd6711.png

从更新的补丁来看,官方增加了一个checkAutoType方法,看到check这个词大概就能想到这块估计是是做了一个黑名单。跟进这个方法

c9d88d173ebab370cd6d86472545b7a0.png

发现checkAutoType方法对denyList列表进行了遍历。跟进checkAutoType看一看。public Class> checkAutoType(StringtypeName, Class> expectClass) {

if (typeName == null) {

return null;

}

final String className = typeName.replace('$', '.');

if (autoTypeSupport || expectClass != null) {

for (int i = 0; i < acceptList.length; ++i) {

String accept = acceptList[i];

if (className.startsWith(accept)){

returnTypeUtils.loadClass(typeName, defaultClassLoader);

}

}

for (int i = 0; i < denyList.length; ++i) {

String deny = denyList[i];

if (className.startsWith(deny)){

throw newJSONException("autoType is not support. " + typeName);

}

}

}

Class> clazz = TypeUtils.getClassFromMapping(typeName);

if (clazz == null) {

clazz = deserializers.findClass(typeName);

}

if (clazz != null) {

if (expectClass != null && !expectClass.isAssignableFrom(clazz)){

throw newJSONException("type not match. " + typeName + " -> " +expectClass.getName());

}

return clazz;

}

if (!autoTypeSupport) {

for (int i = 0; i < denyList.length; ++i) {

String deny = denyList[i];

if (className.startsWith(deny)){

throw newJSONException("autoType is not support. " + typeName);

}

}

for (int i = 0; i < acceptList.length; ++i) {

String accept = acceptList[i];

if(className.startsWith(accept)) {

clazz =TypeUtils.loadClass(typeName, defaultClassLoader);

if (expectClass != null&& expectClass.isAssignableFrom(clazz)) {

throw newJSONException("type not match. " + typeName + " -> " +expectClass.getName());

}

return clazz;

}

}

}

if (autoTypeSupport || expectClass != null) {

clazz = TypeUtils.loadClass(typeName, defaultClassLoader);

}

if (clazz != null) {

if (ClassLoader.class.isAssignableFrom(clazz) // classloader is danger

||DataSource.class.isAssignableFrom(clazz) // dataSource can load jdbc driver

) {

throw newJSONException("autoType is not support. " + typeName);

}

if (expectClass != null) {

if(expectClass.isAssignableFrom(clazz)) {

return clazz;

} else {

throw newJSONException("type not match. " + typeName + " -> " +expectClass.getName());

}

}

}

if (!autoTypeSupport) {

throw new JSONException("autoType is not support. " +typeName);

}

return clazz;

}

}

首先他会先判断expectClass是否为空如果为空的化,就会去检查denyList这个列表。看名字就知道是一个黑名单列表。看看这个列表里都有什么东西。

bcaf8f8cb0b472a012fcc4da68893b94.png

当我们引入的库是以列表中任何一个字段开头时就报throw newJSONException("autoType is not support. " + typeName);的异常。再看看网上的poc引入的库com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl。看来当循环到com.sun时就抛出了异常。阻止了对恶意对象反序列化的执行。当然这是知道了网上流传的poc,利用前辈们的poc分析起来就轻松多了。

0x05构造poc

当然引入poc以前,再熟悉json和java的应用。

7ce310494f9c54eecb6a7fab35087f29.png

依旧是新建一个实体bean,但是现在要注意两个地方,一个是我设置了两个属性。二是我往无参构造器里写入了一条弹计算器的命令。接下来我们看看会发生什么。

579eb463b2ae77264dd08bbb7f474af2.png

5326715d13d30c32f4fbc7c3995c8147.png

神奇的地方发生了,当json反序列化时会自动调用无参构造器里的方法,导致计算器弹出。但是还有一点大家有没有注意到,我上面的json字符串明明有password=123456为什么没有反序列化出来。答案是因为我的PassWord字段设置的是私有属性,所以FastJson无权直接去反序列化私有字段。只是我们构造poc的一点java基础知识。

这已经能执行系统命令了,是不是把我们的实体bean直接传给服务器,服务器就可以让我们为所欲为了呢?当然不是的,因为这个只是我们自己构造的实体bean,只有在自己环境才能认识,除非将实体bean直接上传到服务器。那就有点扯淡了………

言归正传,现在的第一步就是学习java反序列化的思想,想尽办法在jdk和fastjson中,服务器肯定存在的代码中找我们想要的东西。这时就该引出前辈们的poc中的com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl类,那就跟进去看一看

fb608d30fc714e136114ed53ac13d8f1.png

getTransletInstance方法生成一个translet类的实例

443778895cb9281e6831ce86bcceb867.png

_bytecodes字节数组又是translet类的实际类定义。这样我们是不是就以其他的方式代替了将恶意类上传到服务器这个不可取的方法了呢。private void defineTransletClasses()

throws TransformerConfigurationException {

if (_bytecodes == null) {

ErrorMsg err = new ErrorMsg(ErrorMsg.NO_TRANSLET_CLASS_ERR);

throw new TransformerConfigurationException(err.toString());

}

TransletClassLoader loader = (TransletClassLoader)

AccessController.doPrivileged(new PrivilegedAction() {

public Object run() {

return newTransletClassLoader(ObjectFactory.findClassLoader(),_tfactory.getExternalExtensionsMap());

}

});

try {

final int classCount = _bytecodes.length;

_class = new Class[classCount];

if (classCount > 1) {

_auxClasses = new Hashtable();

}

for (int i = 0; i < classCount; i++) {

_class[i] =loader.defineClass(_bytecodes[i]);

final Class superClass =_class[i].getSuperclass();

// Check if this is the mainclass

if(superClass.getName().equals(ABSTRACT_TRANSLET)) {

_transletIndex = i;

}

else {

_auxClasses.put(_class[i].getName(), _class[i]);

}

}

if (_transletIndex < 0) {

ErrorMsg err= newErrorMsg(ErrorMsg.NO_MAIN_TRANSLET_ERR, _name);

throw newTransformerConfigurationException(err.toString());

}

}

catch (ClassFormatError e) {

ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_CLASS_ERR, _name);

throw new TransformerConfigurationException(err.toString());

}

catch (LinkageError e) {

ErrorMsg err = new ErrorMsg(ErrorMsg.TRANSLET_OBJECT_ERR, _name);

throw new TransformerConfigurationException(err.toString());

}

}

首先_bytecodes会传入getTransletInstance方法中的defineTransletClasses方法,defineTransletClasses方法会根据_bytecodes字节数组new一个_class,_bytecodes加载到_class中,最后根据_class,用newInstance生成一个java实例。

6e8b3cd7d350b0d29555cdf89b987aaf.png

此时可以看到已经成功生成了我们的恶意代码com.screw.test.Demo.但是还要注意另一个标注点。强制类型转化为AbstractTranslet类,这是就知道为什么构造的恶意代码一定要继承AbstractTranslet类了。

0x04障碍解决

现在还有一个问题,怎么去触发getTransletInstance接下来会将大家带入一个好玩的调用链。感觉这个巧妙程度和当时的java反序列化有得一拼。

dbb6378f9b5018cb92d4e28090e1ac76.png

在newTransformer中触发了getTransletInstance方法,那问题又来了怎么触发newTransformer?

3fd4b67ae1310cadd1c0009599a9507a.png

getOutputProperties()方法出场了,在return处调用了newTransformer方法。继续寻找getOutputProperties方法。

b01677b442a60118fc40e9c19f217142.png

很快找到了这个_outputProperties属性,只要调用他的get方法是不是就出发了getOutputProperties方法了呢?但是非常遗憾的是_outputPropertie属性前面有一个下划线,调用get方法是触发的是get_ OutputProperties方法,而且这个属性还是一个私有属性,不知道大家还记不记得我前面的实验,FastJson不能直接使用实体bean中的私有方法,没有达到我们的目标怎么办?

73dc897b0dc557e75d4902e3dae4a9cd.png

JavaBeanDeserializer中的smartMatch方法会将传入的key的_替换为空。

e98f4df7f09528df8d8878e7928c9fb8.png

这张是动态调试的结果,很明显key2已经从_OutputProperties变成了OutputProperties。至此所有的阻碍已经去除。

0x05调用链

eebfb4f886f10276509174d4f8c8e1a9.png

0x06最终POC

7d7a0c21e45189b16cdf172ae4271bcf.png

恶意类

d5bddcd4da8ceeb0c243cf0004fa5c34.png

poc

这块放出了完整的poc和恶意类可以结合调用链再回顾一下整个的反序列化过程!

总结:

FastJson虽然被广泛利用但是不知道大家有没有看到,Feature.SupportNonPublicField这个属性就是最后一个坑。他是在1.2.22版本才引入的,在1.2.25版本就被修复了。导致这个漏洞特别的稀少。虽然漏洞没有什么太大的利用价值,但是最重要的是我们学到了大佬的挖洞思路,我想这才是最有价值的东西。

*本文原创作者:TopScrew,本文属FreeBuf原创奖励计划,未经许可禁止转载

weixin_39946767
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web-XSS漏洞
weixin_43916678的博客
05-01 1033
XSS攻击(跨站脚本攻击)是指攻击者利用网站程序对用户输入过滤不足的缺陷,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 XSS攻击主要影响的是用户端的安全,包含用户信息安全、权限安全等。并且多数XSS攻击都依赖于JavaScript脚本开展。 核心要求是构造出能够让前端执行的JS代码,让攻击者的JS代码在受害者浏览器上执行,攻击系统用户而不是系统本身。 JS运行条件:代码位于< script >标签中、代
Ethereum-smart-contract:使用Bravo Remix IDE进行实体化
03-21
以太坊智能合约 使用Bravo Remix IDE进行实体化
从状态机的角度看 HTML 实体编码的解析:你知道 HTML 实体编码处于哪些位置时可以被正常解析吗?
两个月亮
05-06 1531
HTML 实体编码的解释是与当前 HTML 解析器的状态相关的。在某些状态下,HTML 解析器可以正确地解析实体编码,而在其他状态下,它可能无法正确地解析实体编码。HTML 解析器仅能够在部分状态下解析 HTML 实体编码,这是为了避免在不应该使用实体编码的上下文中使用它们,从而导致解析错误或安全漏洞。HTML 规范对实体编码的使用有详细的规定,开发人员应该遵守这些规定来确保 HTML 代码的正确解析和安全性。HTML 解析器能够在属性值状态、文本状态及 RCDATA 状态(包括但不限于)下解析 HTM
HTML实体编码
一叶的博客
08-22 8339
HTML实体编码 首先通过一个例子来说明一下HTML实体编码的重要性 //  前端<!DOCTYPE html><html lang="en"><meta charset="utf8" /><head>    <title>测试</title>    <style></style
HTML实体编码、URL编码、正则表达式、状态码总结
Mr_Rongyao的博客
07-24 1569
编码是指将数字和字符通过一定的转换后使其能够在计算机中进行展示的行为,因为计算机只能识别0,1的信号,所以输入计算机中的信息都要转换成0,1串的形式才能被计算机识别。在计算机中,编码的本质是用来保存或者传输信息,但是由于二进制编码太繁琐,所以人们在处理编码的时候通常用十进制或者十六进制表示,如我们所熟知的ASCII码就是用十进制表示字符。URL编码是浏览器通用的一种编码形式,早期的URL编码是将scope限定在URL中,对URL中的一些字符进行编码
onload实体化编码_中文乱码?不,是 HTML 实体编码!(转)
weixin_34511324的博客
01-17 308
在如何用 Nodejs 分析一个简单页面一文中,我们爬取了博客园首页的 20 篇文章标题,输出部分拼接了一个字符串:var $ = cheerio.load(sres.text);var ans = '';$('.titlelnk').each(function (index, item) {var $item = $(item);ans += $item.html() + '';});// ...
HTML 的实体编码(HTML Entity Encode)
lio-zero 的博客
04-17 2712
MDN:HTML 实体是一段以连字号(&)开头、以分号(;)结尾的文本(字符串)。实体常常用于显示保留字符(这些字符会被解析为 HTML 代码)和不可见的字符(如“不换行空格”)。你也可以用实体来代替其他难以用标准键盘键入的字符。 不可分的空格:&nbsp; <(小于符号):&lt; >(大于符号):&gt; &(与符号):&a...
js的onload事件及初始化按钮事件示例代码
10-26
JavaScript中的`onload`事件是网页或特定元素加载完成后触发的事件,主要用于执行某些操作,如显示内容、执行脚本等。这个事件在多种HTML标签上都可用,包括`<body>`、`<frame>`、`<frameset>`、`<iframe>`、`<img>`...
详解小程序如何改变onLoad执行时机
01-03
也许在小程序所有生命周期里,我们用的最多的就是 onLoad,一大堆代码都要在初始化的时候执行。 很多时候,初始化的代码是每个页面共用的,比如获取用户信息、获取定位等: Page({ onLoad() { this.userData = ...
SF-104474-CD-33_Onload_User_Guide_Network_
10-01
《SF-104474-CD-33_Onload_User_Guide_Network_》这份文档,结合其描述中的“onload user guide version 7 pdf”,我们可以推断出这是一份关于"Onload"网络加速器产品的用户指南,版本为7。在深入探讨之前,我们需要...
解析页面加载与js函数的执行 onload or ready
12-09
加载外部脚本和样式表文件。解析并执行脚本代码。...div → script → 加载脚本 → 解析脚本 → 执行脚本 → img → script → 加载脚本 → 解析脚本 → 执行脚本 → 加载外部图像文件 → 页面初始化完
编码(ASCII码、urlcode、html实体编码、unicode、utf-8,html状态码)
最新发布
xk2844600795的博客
07-27 1659
编码是指将数字和字符通过一定的转换后使其能够在计算机中进行展示的行为,因为计算机只能识别0,1的信号,所以输入计算机中的信息都要转换成0,1串的形式才能被计算机识别。在计算机中,编码的本质是用来保存或者传输信息,但是由于二进制编码太繁琐,所以人们在处理编码的时候通常用十进制或者十六进制表示,如我们所熟知的ASCII码就是用十进制表示字符。URL编码是浏览器通用的一种编码形式,早期的URL编码是将scope限定在URL中,对URL中的一些字符进行编码
onload实体化编码_字符串js编码转换成实体html编码的方法(防范XSS攻击)
weixin_32746931的博客
01-17 206
js代码在html页面中转换成实体html编码的方法一:js代码转换成实体htmljs代码转换成实体html--红function test(){alert('测试红')}test();js代码转换成实体html--绿alert('测试绿')直接在html页面写法是这样写即可:方法一:<script>alert("测试");</script>方法二:<script &...
html实体编码_HTML编码规范
weixin_39637924的博客
12-01 477
排版规则缩进使用2个空格缩进 Fantastic Great.example { color: blue;}大小写只允许使用小写。所有的代码都用小写字母:适用于元素名,属性,属性值(除了文本和CDATA), 选择器,特性,特性值(除了字符串)。Home行为空格建议删除行尾白空格。What? Yes please.常规Meta规则编码如果没有特殊需求,一般采用utf-8编码。如果是cms站点...
为什么html要实体编码,html 实体编码问题
weixin_42365490的博客
06-05 609
看到一篇有趣的文章 ,关于表单提交确实没有尝试过这种设置,一般设置html的meta以及页面为gbk或utf-8编码,那么表单中的中文会以gbk或utf-8编码后在网络上以ascii传播,或者手工构造url用encodeURIComponent utf-8提交。而在上面文章中,设置页面编码为 text/html; charset=ISO-8859-1,如这里的 google (默认下google ...
html 实体编码转换成原字符
热门推荐
老莫小小朋友
04-11 1万+
今天遇到件很恶心的事,某国外歌词网站提供的歌词在源文件里使用“&#数字;”格式的编码表示abcd....原来小菜我实在才疏学浅不知此为何物,于是利用八零后特有的搜索引擎控,搜之。片刻得解,此乃html实体编码。平时我们见的 是html的实体字符,其实在后面 还对应一个实体编码编码表转一个GG/MM的。见附表。  本人试着将编码通过html_entity_decode转换为字符,
onload实体化编码_如何简化实体类代码 - osc_s93p9oy1的个人空间 - OSCHINA - 中文开源技术交流社区...
weixin_39639600的博客
01-17 64
Spring boot使用Lombok编码添加依赖在 pom.xml 文件中添加相关依赖:1.16.20org.projectlomboklombok${lombok.version}provided安装插件由于Lombok采取的注解形式的,在编译后,自动生成相应的方法,为了不让 ide 疯了,需要下载插件了支持它。以 idea 为例:查找插件lombok plugin安装即可。用我的 U...
[作业记录]——CASS实体编码
GSilang's blog
10-09 4927
网上扒的,不保证其正确性 参考文档1 用程序整理了下格式 131100,三角点 131110,三角点分数线 131111,三角点高程注记 131112,三角点点名注记 131200,土堆上的三角点 131300,小三角点 131310,小三角点分数线 131311,小三角点高程注记 131312,小三角点点名注记 131400,土堆上的小三角点 131500,导线点 131510,导线点分数线 1...
onload实体化编码_学习《JavaScript经典实例》之第1~3章
weixin_42151729的博客
01-28 157
《JavaScript经典实例》各节中的完整代码解决了常见的编程问题,并且给出了在任何浏览器中构建Web应用程序的技术。只需要将这些代码示例复制并粘贴到你自己的项目中就行了,可以快速完成工作,并且在此过程中学习JavaScript的很多知识。第1章 JavaScript不只是简单的构件块1.1 JavaScript对象、基本类型和字面值之间的区别5种基本类型:字符串、数值、布尔值、null、und...
如何用onload获取json文件数据
05-25
可以使用XMLHttpRequest对象来获取JSON文件数据,并在onload事件中处理数据。以下是一个示例代码: ```javascript const xhr = new XMLHttpRequest(); xhr.open("GET", "data.json"); xhr.onload = function() { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值