java-sec-code Fastjson漏洞

最新推荐文章于 2024-05-16 09:59:39 发布
最新推荐文章于 2024-05-16 09:59:39 发布
阅读量1.4k 收藏 1
点赞数 2
分类专栏: java security code 文章标签: java 安全漏洞 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44687621/article/details/119947891
版权

最近ctf比赛使用java作为web开发语言的题目越来越多,Fastjson的漏洞是一个很重要的rce。学会审计Fastjson漏洞,更有机会挖出高质量的漏洞,所以还是得多学习学习的。

Fastjson简介

Fastjson是一个Java库,可以用来将Java对象转换成它们的JSON表示。它还可以用于将JSON字符串转换为等效的Java对象。Fastjson可以处理任意Java对象,包括您没有源代码的现有对象。

Fastjson相对其他JSON库的特点是快速且简洁,但是却被屡屡爆出漏洞。

Fastjson可通过这个链接获取 https://github.com/alibaba/fastjson

漏洞分析

以下代码作为一个测试用例

package serialize;

import java.io.IOException;

import com.alibaba.fastjson.JSON;

class T1{
   
	public T1() throws IOException{
   
		Runtime.getRuntime().exec("calc");
	}
}
	
public class Test {
   

	public static void main(String[] args) {
   
		Object object = JSON.parseObject("{\"@type\": \"serialize.T1\"}");
		System.out.println(object);
	}
}

实际环境中,一般不会有这样的代码可以直接供我们去触发,下面尝试使用TemplatesImpl类实现远程代码执行。

public static void main(String[] args) {
   
    // Open calc in mac
    String payload = 
    "{
   \"@type\":
       	\"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl\", 
        	\"_bytecodes\": [\"这里写入payload,需要进行Base64编码\"],
        	\"_name\": \"lightless\", 
    	\"_tfactory\":{
    }, 
    \"_outputProperties\":{ }}";
    JSON.parseObject(payload, Feature.SupportNonPublicField);
}

这里作为测试命令执行的main方法。

这里分析一下,使用TemplatesImpl的利用链。知道了利用链,我们就知道为什么上面的payload是这样构造了。

在TypeUtils.class下打断点,发现加载了TemplatesImpl类

在这里插入图片描述

我们可以从payload大致看出要调用的方法

在这里插入图片描述

在com\alibaba\fastjson\parser\deserializer\JavaBeanDeserializer.class下,有一个帮我们去掉payload中下划线的操作

在这里插入图片描述

这里先处理的就是_bytecodes,这里会进入com\alibaba\fastjson\serializer\ObjectArrayCodec.class下的deserialize方法

在这里插入图片描述

继续跟进,这里有base解码的操作

在这里插入图片描述

下面摘抄一段关于_tfactory的说明

fastjson只会反序列化公开的属性和域,而com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl_bytecodes却是私有属性,_name也是私有域,所以在parseObject的时候需要设置Feature.SupportNonPublicField,这样_bytecodes字段才会被反序列化。_tfactory这个字段在TemplatesImpl既没有get方法也没有set方法,这没关系,我们设置_tfactory为{ },fastjson会调用其无参构造函数得tfactory对象,这样就解决了某些版本中在defineTransletClasses()用到会引用_tfactory属性导致异常退出。

现在我们回过头来看TemplatesImpl类中有关对象初始化的那个部分。

transformer = new TransformerImpl(getTransletInstance(), _outputProperties,_indentNumber, _tfactory);

由于这里调用了getTransletInstance()函数,在该函数处打下断点观察。

在这里插入图片描述

这里的_class对象已经成为了我们传入的对象,同时使用用newInstance生成一个java实例

可以看到,如果我们进入下一条语句,此时计算器就会弹出。

最低0.47元/天 解锁文章
一睡12点
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【 异常 】com.alibaba.fastjson.JSONException: set property error
小子宝丁的博客
03-15 2477
记录 FastJson 异常及处理方法。
java使用fastjson转化失败:Exception in thread “xx“ com.alibaba.fastjson.JSONException: set property error
草叶儿的博客
08-31 3834
fastjson转化失败,,$ref无法在字符串中转化成对象的键。
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
最新发布
gitblog_00045的博客
05-16 521
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan 项目地址:https://gitcode.com/a1phaboy/FastjsonScan 在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工具——Fa...
fastjson:对于Exception中复杂类型(enum,...以及自定义类型)成员的处理
10km的专栏
11-23 5244
如果一个Exception类中有枚举类型或其他复杂类型(比如java.util.Date,或自定义类型)的成员,fastjson反序列化会抛出异常。 // ServiceSecurityException 类型中 type 成员是个枚举类型SecurityExceptionType ServiceSecurityException exp = new ServiceSecurityEx
fastjson反序列化攻防
公众号shadow sock7
03-25 6173
<=1.2.24 JNDI注入利用链(com.sun.rowset.JdbcRowSetImpl) 按照这张图里的描述: 使用JdbcRowSetImpl类作为目标类,根据PoC中指定的属性dataSourceName和autoCommit,到时候应该会调用setDataSourceName。 PoC内容如下: package com.cqq; import com.alibaba.fa...
Android FastJson与不规范JSON引发的血案
区长的专栏
12-27 2万+
去公司实习了,没多少时间更博客了,距离上一篇博客也有一个来月了。看标题,应该可以看出,这篇文章是讲一个坑,以及如何填坑。 坑是什么?有两个坑,其一是fastjson的bug,其二是不规范的json字符串。如何填坑,不要着急,后文详细说明。首先,我们看一个json字符串
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
- **反序列化**:相反,Fastjson也能将JSON字符串解析为Java对象,如`JSON.parseObject(jsonStr, YourClass.class)`,这便于从JSON数据中恢复Java对象。 2. **API设计与性能优化** - **流式API**:Fastjson提供...
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过更新到1.2.71版本来修复这些已知的安全问题。 Fastjson的安全漏洞通常涉及其自动类型识别机制。这个机制允许JSON字符串...
fastjson-rce-exploit:利用fastjson远程执行代码漏洞
03-15
《深入解析Fastjson-RCE漏洞及其利用》 Fastjson,作为一个高效、强大的Java语言中用于处理JSON数据的库,被广泛应用于各种系统和项目中。然而,任何软件都可能存在潜在的安全隐患,Fastjson也不例外。"fastjson-...
java开发-com.alibaba.fastjson.JSONObject
07-21
Fastjson是Java语言编写的高性能功能完备的JSON库,广泛应用于各种Java项目中,尤其在大数据量、高并发场景下表现出色。 JSON(JavaScript Object Notation)是一种轻量级的数据交换格式,易于人阅读和编写,同时也...
fastjson-example:阿里巴巴fastjson示例。 一些演示以展示如何使用fastjson
04-29
FastJson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。Github地址: 2.FastJson的特点: 1.速度快,无论序列化和反序列化,都...
setProperty Error
a1356467的博客
12-10 1206
#include <QAbstractProxyModel>
com.alibaba.fastjson.JSONException异常解决方法
smile_foreach的博客
10-14 4万+
postman测试传递的json中 {}不是[] 多谢公众号号主平头哥,希望平头哥的公众号越来越火
解决com.alibaba.fastjson.JSONException: autoType is not support. xxx 问题
qq_17731471的博客
06-07 1390
最近搞一个项目遇到一个RedisConfig序列化问题,是用fastjson做的。
alibaba fastjson对象转换异常com.alibaba.fastjson.JSONException: not match : - =, info : pos 8, line 1,xxx
qq_43170312的博客
05-13 6578
问题: 在使用fastjson的JSONObject.parseObject()进行对象转换时,报错如下: // 出错代码 final String data = respBody.get("data").toString(); UserVO vo = JSONObject.parseObject(data, UserVO.class); // 报错 com.alibaba.fastjson.JSONException: not match : - =, info : pos 8, l
解决com.alibaba.fastjson.JSONException: create instance error...
牛肉胡辣汤
11-02 2999
在使用​​库时,当出现​​错误时,我们可以按照上述方法逐一排查问题的原因,并采取相应的解决方法。通过检查类路径,确保类文件和jar包正确添加到项目中,检查类的构造函数,构造函数参数类型,以及Getter和Setter方法是否符合FastJson的要求,我们可以解决​​错误,使FastJson能够正常进行JSON的序列化和反序列化操作。希望本文能够帮助解决​​错误!假设我们有一个简单的Java类​​Person​​​,表示一个人的信息,包括姓名和年龄。我们使用FastJson对该类进行序列化和反序列化操作。
处理异常:com.alibaba.fastjson.JSONException: syntax error, expect {, actual string, pos 0,
热门推荐
lijun___的专栏
07-09 4万+
异常详情:com.alibaba.fastjson.JSONException: syntax error, expect {, actual string, pos 0, fastjson-version 1.2.70 "{\"waybillNo\":\"100000024559\",\"logisticsOrderCode\":\"\",\"logisticsOrderChannelCode\":null,\"branchCode\":null,\"createTime\":1594111548.
从零开始学习fastjson反序列化
mingyqf的博客
03-21 3826
转至:https://www.freebuf.com/vuls/276812.html 打大狼 2020-03-31 14:00:36 403083 2 fastjson使用简介 fastjson项目地址:https://github.com/alibaba/fastjson 用来实现Java POJO对象与JSON字符串的相互转换,比如: User user = new User(); user.setUserName("李四"); user.setAge(24); String userJson
JSON parse error: parseLong error, field : id; nested exception is com.alibaba.fastjson.JSONExceptio
weixin_44604118的博客
09-27 5923
ested exception is com.alibaba.fastjson.JSONException: parseLong error
fastjson-2.0.35.jar和fastjson2-2.0.35.jar有冲突吗
07-11
`fastjson-2.0.35.jar` 和 `fastjson2-2.0.35.jar` 这两个 JAR 文件的命名看起来非常相似,但是它们可能是不同的版本或者来自不同的库。 一般情况下,如果两个 JAR 文件具有相同的类路径和类名,它们可能会产生冲突。在你的情况下,如果这两个 JAR 文件都包含了相同的类,并且你同时将它们添加到了项目的类路径中,那么可能会导致冲突。 为了解决这个问题,你可以尝试以下几个步骤: 1. 确认你的项目中只添加了一个版本的 fastjson 依赖。检查你的项目配置文件(如 pom.xml 或 build.gradle)和构建工具的依赖项,确保只有一个版本的 fastjson 被添加。 2. 删除或排除其中一个版本的 fastjson 依赖。如果你确定其中一个版本是冗余或者不需要的,可以将其从项目依赖中删除或者使用构建工具提供的排除机制来排除它。 3. 如果你需要同时使用两个版本的 fastjson,那么可以尝试将它们隔离在不同的类加载器中。这样可以避免类冲突问题。但是需要注意,隔离类加载器可能引入其他复杂性和潜在的问题,需要慎重使用。 最好的做法是在项目中只使用一个版本的 fastjson,并确保依赖项的一致性。这样可以避免类冲突和其他潜在的问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值