fastjson-流程分析

于 2024-07-31 17:02:44 发布
阅读量636 收藏 16
点赞数 23
分类专栏: fastjson反序列化 文章标签: java fastjson
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45436292/article/details/140827430
版权

参考视频:fasfjson反序列化漏洞1-流程分析

分析版本

fastjson1.2.24

JDK 8u65

分析过程

新建Person类

public class Person {

    private String name;
    private int age;

    public Person() {
        System.out.println("constructor_0");
    }

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
        System.out.println("constructor_2");
    }

    public String getName() {
        System.out.println("getName");
        return name;
    }

    public void setName(String name) {
        this.name = name;
        System.out.println("setName");
    }

    public int getAge() {
        System.out.println("getAge");
        return age;
    }

    public void setAge(int age) {
        this.age = age;
        System.out.println("setAge");
    }
}

新建JSONTest

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;

public class JSONTest {
    public static void main(String[] args) throws Exception {
        String s = "{\"@type\":\"Person\",\"age\":18,\"name\":\"tttt\"}";

        JSONObject jsonObject = JSON.parseObject(s);
        System.out.println(jsonObject);
    }
}

image-20240715102848791

发现parseObject(s)过程还调用了get方法。详细的过程可以跟一下上面视频。

分析下fastjson的JSON.parseObject(s);逻辑

主要逻辑在DefaultJSONParser的parse方法

public static Object parse(String text, int features) {
    if (text == null) {
        return null;
    }

    DefaultJSONParser parser = new DefaultJSONParser(text, ParserConfig.getGlobalInstance(), features);
    Object value = parser.parse();    //主要的逻辑在这儿

    parser.handleResovleTask(value);

    parser.close();

    return value;
}

parse()先进行字符串的匹配

case LBRACE: //匹配到左大括号
    JSONObject object = new JSONObject(lexer.isEnabled(Feature.OrderedField));
    return parseObject(object, fieldName);

之后进入parseObject

key是@type,进入此循环,fastjson会尝试将字符串反序列化为输入的@type类。可以看到进入循环之后会调用loadCLass方法,加载类

image-20240715142244242

TypeUtils.loadClass对输入进行了预处理,不处理的话loadClass默认是不能加载数组类的

image-20240715143333345

加载完类之后,继续往下跟。到下面的位置会进行反序列化,跟进去

image-20240715143853109

public ObjectDeserializer getDeserializer(Type type) {
    ObjectDeserializer derializer = this.derializers.get(type);  //首先查看有没有符合条件的默认的反序列化器,我们自己写的类,肯定是返回null
    if (derializer != null) {
        return derializer;
    }

    if (type instanceof Class<?>) {
        return getDeserializer((Class<?>) type, type);   //之后进入这个方法
    }

    if (type instanceof ParameterizedType) {
        Type rawType = ((ParameterizedType) type).getRawType();
        if (rawType instanceof Class<?>) {
            return getDeserializer((Class<?>) rawType, type);
        } else {
            return getDeserializer(rawType);
        }
    }

    return JavaObjectDeserializer.instance;
}

getDeserializer((Class<?>) type, type);方法中,找不到符合条件的反序列化器,则把传入的默认当作JavaBean。

image-20240715145213169

在createJavaBeanDeserializer中又调用到了JavaBeanInfo beanInfo = JavaBeanInfo.build(clazz, type, propertyNamingStrategy);

通过这个build方法去获取Person的信息,从而创建Person的反序列化器。

这里不详细写了

下面三个循环,第一个寻找public的set方法,第二个寻找public的属性,第三个寻找public的get方法(如果有了对应的set方法,那么这里不在创建get方法)

image-20240715151747655

fastjson还有一个设定是,如果找到了某个属性的set方法,那么get方法就不再add。这个操作是在最后一个循环的下面这里实现的。

image-20240715164947894

这里要说一下根据上面分析,如果针对某个属性只有getter方法,则会创建getter方法,但是fastjson对getter方法的返回值做了判断,需要满足下面条件

image-20240731102641050

之后我们就拿到了需要的反序列化器(这有个关于debug的问题,大家看视频吧,这儿就不写了,更新了Person类)

//
// Source code recreated from a .class file by IntelliJ IDEA
// (powered by FernFlower decompiler)
//

import java.util.Map;

public class Person {
    private String name;
    private int age;
    private Map map;

    public Person() {
        System.out.println("constructor_0");
    }

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
        System.out.println("constructor_2");
    }

    public String getName() {
        System.out.println("getName");
        return this.name;
    }

    public void setName(String name) {
        this.name = name;
        System.out.println("setName");
    }

    public int getAge() {
        System.out.println("getAge");
        return this.age;
    }

    public void setAge(int age) {
        this.age = age;
        System.out.println("setAge");
    }

    public Map getMap() {
        System.out.println("getMap");
        return this.map;
    }
}

下面可以跟一下反序列化器JavaBeanDeserializer中,是如何调用构造函数,set和get方法的。

在反序列化器JavaBeanDeserializer中,只会调用setAge和setName。不会调用getAge和getName方法(上面讲了原因)和getMap(这是因为在JavaBeanDeserializer中做了判断)

} else if (fieldClass == float[][].class) {   //上面还有很多类型的判断,但是没有Map类,所以这里为假
    fieldValue = lexer.scanFieldFloatArray2(name_chars);

    if (lexer.matchStat > 0) {
        matchField = true;
        valueParsed = true;
    } else if (lexer.matchStat == JSONLexer.NOT_MATCH_NAME) {
        continue;
    }
} else if (lexer.matchField(name_chars)) {  //检查map是否在JSON中
    matchField = true;
} else {
    continue;
}

我们想要输出getMap改一下JSON就行了。String s = "{\"@type\":\"Person\",\"age\":18,\"name\":\"tttt\",\"map\":{}}";这样就能输出getMap了。

剩下的getAge和getName是在JSON.toJSON(obj);中完成输出的。

///JSON
public static JSONObject parseObject(String text) {
    Object obj = parse(text);
    if (obj instanceof JSONObject) {
        return (JSONObject) obj;
    }

    return (JSONObject) JSON.toJSON(obj);
}

///JSON
if (serializer instanceof JavaBeanSerializer) {
    JavaBeanSerializer javaBeanSerializer = (JavaBeanSerializer) serializer;
    
    JSONObject json = new JSONObject();
    try {
        Map<String, Object> values = javaBeanSerializer.getFieldValuesMap(javaObject);
        for (Map.Entry<String, Object> entry : values.entrySet()) {
            json.put(entry.getKey(), toJSON(entry.getValue()));
        }
    } catch (Exception e) {
        throw new JSONException("toJSON error", e);
    }
    return json;
}

利用

下面弹个计算器试试

一、注意类里面都没有定义map这个属性,但是因为fastjson是按set和get等方法寻找属性的,所以并不影响。

要注意setMap中参数必须为1,否则fastjson会报错

public class Test {
    public void setMap(String map) throws IOException {
        Runtime.getRuntime().exec("calc");
    }
}

public class JSONTest {
    public static void main(String[] args) throws Exception {
        String s = "{\"@type\":\"Test\",\"map\":\"aaaa\"}";
        JSONObject jsonObject = JSON.parseObject(s);
        System.out.println(jsonObject);
    }
}

二、get方法注意不能有参数

public class Test {
        public Map getMap() throws IOException { //如果返回类型改为int的话,需要在JSON语句中加入map的赋值,否则不会执行get方法。这样做程序可以在toJSON中执行get方法
            Runtime.getRuntime().exec("calc");
            return new HashMap();
        }
}

public class JSONTest {
    public static void main(String[] args) throws Exception {
        String s = "{\"@type\":\"Test\"}";
        JSONObject jsonObject = JSON.parseObject(s);
        System.out.println(jsonObject);
    }
}

如果getMap返回类型是Map,而且JSON中还给map赋值了。那么会运行两次getMap(我的Test类里面没有setMap方法)

第一次是在形成反序列化器时

第二次是在toJSON中。

y06_z
关注
  • 23
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
代码审计-fastjson的dnslog探测方式分析
cdyunaq的博客
12-15 1876
前言 正常测试的时候,发现java后端对json处理都会去测试一下是否存在反序列化,但是后端处理json的组件很多,比如fastjson、jackson、gson等,怎么判断是否使用了fastjson呢? 有一个简便无危害的方式,就是通过dnslog来判断。 大佬们讨论的issue 说明 前面我们在分析的时候,会发现很多有一个变量token在进行判断,比如token == 12 或者 token == 14等,那这个token到底代表啥呢?在com.alibaba.fastjson.parser.
fastjson-1.2.53.jar
11-27
1. 解析引擎:Fastjson采用了一种基于扫描器的解析方式,通过Scanner类来分析JSON文本,然后通过Parser进行解析。 2. 序列化过程:从Java对象到JSON字符串的转换涉及到了反射、类型处理和优化策略,包括字段的忽略、...
[Java安全]Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
cosmoslin的博客
04-18 637
简介 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链: 基于TemplateImpl; 基于JNDI(又分为基于Bean Property类型和Field类型); 这里我使用的环境是JDK7u51 fastjson-1.2.24.jar,commons-codec-1.12.jar,commons-io-2.5.jar,unboundid-ldapsdk-4.0.9.jar 反序列化TemplatesImpl类+类加载触发 先看一下POC: Te
fastjson 检测json格式_Fastjson 流程分析及 RCE 分析
weixin_34234884的博客
01-17 941
其实最近爆出的这个rce在去年的时候就有更新,poc在github的commit记录中也有所体现,之前已经有很多非常好的分析文章对整个漏洞进行了详尽的分析,我这里只记录一下自己的跟踪过程,以及在跟踪时所思考的一些问题。0x01 Fastjson流程简述在廖大2017年的一篇博文中就对Fastjson的反序列化流程进行了总结:在具体的跟进中也可以很清晰的看到如图所示的架构。对于编程人员来说,只需要...
fastjson源码解析-设计分析总结
qq_45946035的博客
09-11 1922
2021SC@SDUSC 简介 本篇是fastjson源码分析的最后一篇,本篇的主要内容是对之前分析过程中的流程做个总结,并总结在之前fastjson分析到的设计模式; 类间关系 下面以类图的形式给出类间关系的总览: 图中的JSON抽象类是入口类,它提供了大量的静态方法;JSONObject类用于存储返回对象,继承自JSON抽象类;DefaultJSONParser类是解析器,它依赖于JSONObject类、JSONLexer接口、JSONLexerBase抽象类、ObjectDeserializer接
fastjson kotson_Fastjson 1.2.22-1.2.24反序列化漏洞分析
weixin_39670849的博客
01-12 216
Fastjson简介Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两个主要接口JSON.toJSONString和JSON.parseObject/JSON.parse来分别实现序列化和反序列化操作。Fastjson序列化与反序列化序列化Student.javapublic class Student {pr...
Fastjson小于1.2.67 UnSerializable RCE分析研究
Fly_鹏程万里
05-08 2375
开篇前言 从2018年2月的第一篇文章开始到现在已经发布了946篇原创文章,时隔2年零2个月,博客粉丝达到了3000人,很是感谢大家的支持以及对笔者博客的喜爱,后续笔者也将用心撰写更加有质量的博客与广大IT领域的人员进行深度交流,为了答谢广大的粉丝,本次奉上一篇最近写的Fastjson反序列化漏洞文章,以此作为致谢~ 影响范围 Fastjson<=1.2.66 漏洞类型 反序列化导...
fastjson-对象转json字符串时使用@JSONType注解指定对象字段的顺序
weixin_41979002的博客
12-28 5444
一、简单例子 依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.72</version> </dependency> 源码: package com.junjie.tes
Java反序列化5-Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
weixin_43263451的博客
07-12 915
Fastjson是alibaba开源的一个json库,能够对json字符串进行序列化与反序列化操作。其在1.2.22-1.2.24版本被爆出来存在反序列化漏洞。该反序列化漏洞一共有两条链子这次主要分析的是TemplateImpl利用链。这条链子还是利用了TemplateImpl类,将avasisit生成的恶意类赋值给_bytecodes属性,当反序列化TemplateImpl对象时会调用其gettter和setter方法,在调用这些方法的时候调用了newTransformer从而进入TemplateImpl
Fastjson漏洞原理分析
LTianHang的博客
06-04 5044
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
fastjson1.2.2.zip
08-16
《深入解析Fastjson 1.2.2:阿里巴巴的高效JSON库》 Fastjson是阿里巴巴开源的一款高性能的JSON库,其1.2.2...无论是在大型的Maven项目还是小型的本地项目中,都能发挥其强大的作用,提升开发效率,简化JSON操作流程
fastjson_test.rar
02-23
《深入理解FastjsonJava语言中的JSON解析利器》 Fastjson是阿里巴巴开发的一款高性能的Java JSON库,它具有解析速度快、占用资源少...记住,理解并熟练掌握Fastjson的使用,能有效提高开发效率,简化数据处理流程
XXL-RPC_XXL-RPC解析_
10-03
- 序列化是RPC框架中的重要环节,XXL-RPC支持Fastjson、Hessian、Java自带的序列化等多种序列化方式,选择合适的序列化方式可以影响性能和兼容性。 4. **线程池管理**: - 为了处理并发请求,XXL-RPC内部使用了...
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 386
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 443
1.导入hutool的maven依赖。2.复制一下代码执行。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 242
1.导入hutool的maven依赖。2.直接复制一下代码运行。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 616
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值