fastjson1.2.24代码分析

最新推荐文章于 2024-01-24 16:32:50 发布
最新推荐文章于 2024-01-24 16:32:50 发布
阅读量469 收藏 2
点赞数
文章标签: java json 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45682070/article/details/122170482
版权

fastjson反序列化成因
fastjson 自动调用getter和setter
类似Java的反序列化过程会自动调用readObject函数,fastjson还原对象时也会自动调用以下几个函数:

无参数的构造函数
符合条件的getter函数
符合条件的setter函数

这里需要区别的是fastjson所使用的parse函数和parseObject函数所调用的函数条件是不一样的
代码浅析

        //通过parseObject,不指定类,返回的是一个JSONObject
        System.out.println("JSON.parseObject(serializedStr):");
        Object obj2 = JSON.parseObject(serializedStr);
        System.out.println("parseObject反序列化对象名称:" + obj2.getClass().getName());
        System.out.println("parseObject反序列化:" + obj2);
        System.out.println("-----------------------------------------------\n");

这是我们执行的代码,跟进parseObject()函数
在这里插入图片描述parseObject函数会首先调用JSON.parse函数,然后再去调用toJSON函数
这里toJSON会把obj套一层JSONObject对象,他的实现方法是先new一个JSONObject,把obj对象给填充进去;然后调用toJSONString把生成的JSONObject转化为json字符串;最后再调用parse函数将这个json字符串给还原。

这里的toJSONString是我们序列化的一个过程,他会去调用这个对象的所有getters,也就意味着parseObject函数会主动去调getters和setters,而parse函数则会调用这个对象的setters和符合条件的getters(这部分见后文)。

那么也就意味着,parseObject比parse函数多了一个调用所有getters的利用点

跟进parse函数
会走到com/alibaba/fastjson/parser/DefaultJSONParse#parse()函数
在这里插入图片描述
会在parseObject函数内解析传入的json数据
到了这里之后,开始依次进行JSON的解析,我们传入的第一个字符是{,所以进入case:12这个分支中,并继续进入parseObject(object, fieldName)方法来解析对象。
在这里插入图片描述
这个时候lexer所在的字符为",会进入下面这个分支继续解析JSON字符串,通过scanSymbol方法获取到双引号之间的字符串也就是@type
在这里插入图片描述
之后会获取@type字段的值,并且尝试获取这个类的Class,经过一系列的判断后,调用了deserializer.deserialize(this, clazz, fieldName)方法进行反序列化。

然后走在这里会反序列我们的数据
在这里插入图片描述
进入com/alibaba/fastjson/parser/deserializer/JavaBeanDeserializer.java#deserialz
方法
在这里插入图片描述
在第578行调用了createInstance函数,该函数将会对当前还原的类进行实例化,这里会自动调用无参数的构造函数
然后在第600行调用了parseField函数,该函数将对每个类属性进行初始化(或递归生成新的对象)
跟进parseField函数
在这里插入图片描述
这里调用了com/alibaba/fastjson/parser/deserializer/DefaultFieldDeserializer.java#parseField函数,直接看关键点第79行,调用了setValue函数
在这里插入图片描述
setValue函数就是fastjson自动调用getter和setter的关键点
在这里插入图片描述
如果不存在相应的getter、setter、is函数,则利用反射机制将value赋值到当前的object上(这里就是else部分做的事情)。

而当fieldInfo存在函数时,如果同时存在getter和setter,则调用setter,如果只存在getter则调用getter。

这里我们关注一下fieldInfo的method是怎么填充的呢?这里要看com/alibaba/fastjson/util/JavaBeanInfo.java#build函数,ParserConfig在createJavaBeanDeserializer函数中会调用JavaBeanInfo.build函数,以此填充fieldInfo,也就是我们需要分析的几个method。

不看具体的代码,写一下筛选的条件:
setter提取条件:
函数名长度大于等于4
非静态函数
限制返回类型为void或当前类
函数参数只有一个
函数名以set开头,第四个字符是大写或者unicde或者_或者字母f;如果函数名长度>=5,看第5位字符是不是大写的

getter提取条件:
函数名长度大于等于4
非静态函数
函数名以get开头,第四个字符大写
函数参数为0个
函数的返回类型为Collection的子类或本身、Map的子类或本身、AtomicBoolean、AtomicInteger、AtomicLong
无相对应的setter函数

经过上述的两个条件提取后,保留了符合条件的getter和setter,并于com/alibaba/fastjson/parser/deserializer/FieldDeserializer.java#setValue函数中invoke调用,也就是说实现了类似反序列化过程中主动调用readObject函数的效果。
知道了上述的条件,其实我们可以利用传入某字段的方式来主动调用相关符合条件的setter和getter。例如在Person里面添加一个setTest函数,并在需要转化的json中添加"test":1,将会主动调用setTest。
我们在利用@type构造有危害的利用链时,主要就是查找有危害的无参数的构造函数、符合条件的getter和setter。
fastjson更改反序列化漏洞对应有还几个版本,以后可下载其他版本的代码,往后几个小版本都是以黑名单的方式来限制,也就有了L和;绕过的可能,之后会后续分析,既然知道fastson是通过调用getter/setter来实现反序列化,那我们可以寻找能更改属性的类来构造我们想要达成的目的,这个后续分析

参考:
https://www.freebuf.com/vuls/178012.html
https://paper.seebug.org/994/#21-jsonstring
https://blog.0kami.cn/2020/04/13/java/talk-about-fastjson-deserialization/
XiaoLeiZhaoO
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
追洞小组 | fastjson1.2.24复现+分析
Ms08067安全实验室
03-05 2760
网络安全知识小百科,就点上方蓝字关注我们文章来源|MS08067 WEB攻防知识星球本文作者:爱吃芝士的小葵(Ms08067实验室追洞小组成员)漏洞复现分析 认准追洞小组1、靶场搭建2、...
java安全学习笔记--fastjson1.2.24反序列化漏洞两种利用链分析(TemplatesImpl,JdbcRowSetImpl)
m0_64685672的博客
02-03 2784
测试环境 jdk1.7 fastjson 1.2.24 Fastjson简介及用法 Fastjson 是一个 Java 库,可以将 Java 对象换为 JSON 格式,也可以将 JSON 字符串换为 Java 对象,常用在前后端分离的项目中,用来处理前端传来的json数据,JSON字符串和Java对象的换就是基于序列化和反序列化来实现的。 演示代码: package com.test; import com.alibaba.fastjson.JSON;
[Java安全]Fastjson 1.2.22-1.2.24 TemplatesImpl利用链分析
cosmoslin的博客
04-18 627
简介 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞的利用,目前已知的主要有以下的利用链: 基于TemplateImpl; 基于JNDI(又分为基于Bean Property类型和Field类型); 这里我使用的环境是JDK7u51 fastjson-1.2.24.jar,commons-codec-1.12.jar,commons-io-2.5.jar,unboundid-ldapsdk-4.0.9.jar 反序列化TemplatesImpl类+类加载触发 先看一下POC: Te
[复现]fastjson 1.2.24
kuuhh的博客
09-07 914
前言 学习了JNDI、RMI、LDAP基础后,开始复现Fastjson漏洞。 三种利用链 JdbcRowSetImpl TemplatesImpl BasicDataSource 搭建靶场 本机环境 win10 Java 1.8.0_101 Maven 3.8.1 IDEA启动一个springmvc项目,maven导入fastjson1.2.24版本的包。 <dependency> <groupId>com.alibaba</groupId> <artif
1.2.24 Fastjson反序列化TemplatesImpl和JdbcRowSetImpl利用链分析(非常详细)
dreamthe的博客
07-07 2167
本文的关于Fastjson1.2.24版本TemplatesImpl利用链的分析非常详细,如果你不是很熟悉该利用链,这篇文章非常适合你去学习,有比较详细的代码讲解。但是由于本人不是专业学习java的,只能以自己的理解去理解代码。应该不会差太多。有不懂可以评论区留言。...............
fastjson1.2.24含源码
02-04
Fastjson 1.2.24版本是其发展过程中的一个重要里程碑,该版本包含了完整的源码,允许开发者深入研究其内部机制,优化自己的代码,或对库进行自定义扩展。 1. **Fastjson简介** Fastjson的核心功能是将Java对象换...
fastjson1.2.24反序列化RCE
最新发布
06-24
fastjson1.2.24反序列化RCE
fastjson-1.2.24.jar
02-24
java运行依赖jar包
fastjson-1.2.24
04-24
Fastjson 1.2.24版本中,针对之前的安全漏洞进行了修复,增强了其安全性。开发者应定期更新Fastjson以确保应用的安全性。 7. 性能优化 Fastjson在设计时充分考虑了性能,如使用直接操作字节码的技术来提升速度,...
最新的fastjson 1.2.58 源代码
05-08
com.alibaba.fastjson.JSON代码 最新的版本号为1.2.58。需要的自行下载
Fastjson 1.2.24 反序列化漏洞研究
辛勤搬砖的门卫的专栏
01-05 1160
Fastjson 反序列化漏洞
FastJson 代码示例
热门推荐
桃李不言下自成蹊
10-19 3万+
示例代码中包含 Date LocalDate LocalDateTime 类型处理方式JavaBean 与 json 相互换 bean2json json2beanList 与 json 相互换 list2json json2listMap 与 json 相互换map2json json2map。
Fastjson反序列化漏洞(1.2.24 RCE)
m0_61506558的博客
09-13 3027
Fastjson是一个JSON工具库,它的作用就是把java对象换为json形式,也可以用来将json换为java对象。@type引入这个功能的目的是在序列化的时候防止子类中包含接口或抽象类的时候,类型丢失,这样我们在反序列化的时候就不需要再指定类名。
fastjson反序列化-1.2.24漏洞利用与分析
hackzkaq的博客
01-24 962
Fastjson1.2.24版本是最先发现漏洞的版本,这篇文章也是作为学习Fastjson反序列化的开端。后续会继续学习Fastjson高版本的绕过。反序列化之路任重而道远。申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。免费领取安全学习资料包!渗透工具技术文档、书籍面试题帮助你在面试中脱颖而出视频基础到进阶。
fastjson反序列化一个字段有多个set方法时的问题
normalAdam的博客
11-02 3434
使用的fastjson版本 1.1.381 排查异常 代码打印的异常是读取redis数据之后,fastjson解析出错。将出错代码抽取出一个测试方法,在线上环境进行循环调用来复现问题。 完成代码抽取之后,在循环执行的过程中代码会随机出错,问题没有每次必现。由于升级并没有涉及相关代码的更改,刚开始着重点在排查jar包冲突。通过删除一部分jar包之后问题缓解,但是并没有彻底解决问题。 由于升级过程
fastJsonJSONPath使用
只有变秃 才能变强
12-10 3万+
1. JSONPath介绍官网地址: https://github.com/alibaba/fastjson/wiki/JSONPathfastjson 1.2.0之后的版本支持JSONPath。这是一个很强大的功能,可以在java框架中当作对象查询语言(OQL)来使用。2. APIpackage com.alibaba.fastjson;public class JSONPath {
fastjson源码简单分析
zhao_xinhu的博客
09-04 4445
相信每个开发人员都用过json吧。然而在json常用的工具中鼎鼎有名的无非是fastjson和gson了,但是不知道小伙伴没有没有去了解过他们其中的源码设计?我们接下来重点看一下fastjson的toJSONString方法。 我们拿Student(String studentId,String studentName,Byte studentAge,Boolean studentSex)来做例...
FastJsonFastjson 使用指南
懂得一千零一种,赋予你失败的方法!
03-11 431
一、什么是Fastjson? Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。 Fastjson使用场景 Fastjson已经被广泛使用在各种场景,包括cache存储、RPC通讯、MQ通讯、网络协议通讯、Android客户端、Ajax服务器处理程序等等。 二、Fastjson的优点 2.1 速度快 Fastjson相对其他JSON库的特点是快,从2011年Fastjs.
fastjson1.2.24漏洞
09-08
Fastjson 1.2.24是一个存在远程代码执行漏洞的版本。该漏洞利用了Fastjson在处理json对象时未对@type字段进行完全的安全性验证的问题。攻击者可以通过传入危险类并调用危险类连接远程rmi主机,从而执行恶意代码。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值