Fastjson反序列化漏洞分析

最新推荐文章于 2024-10-04 17:25:50 发布
最新推荐文章于 2024-10-04 17:25:50 发布
阅读量1.9w 收藏 11
点赞数 8
分类专栏: 漏洞 文章标签: java 漏洞 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaofeiNO1/article/details/76377080
版权
本文详细分析了2017年Fastjson存在的远程代码执行高危漏洞,影响版本<=1.2.24。通过源码分析,揭示了漏洞原理,包括黑名单机制的引入以防止反序列化利用库。还介绍了靶场环境搭建和漏洞复现步骤,最后给出了修复建议,即升级Fastjson到最新版本。
摘要由CSDN通过智能技术生成

这里写图片描述

1. 漏洞描述

  • 漏洞简述: 2017年3月15日,fastjson官方主动爆出fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。
  • 影响版本: fastjson <= 1.2.24

2. 漏洞简介

  java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjson,fastjson是阿里巴巴一个开源的json相关的java library,地址在这里,https://github.com/alibaba/fastjson,Fastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,效率较高,被广泛的用在web服务以及android上,它的JSONString()方法可以将java的对象转换成json格式,同样通过parseObject方法可以将json数据转换成java的对象。

Fastjson序列化和反序列化:

  • Fastjson序列化:通过JSON.toJSONString()方法,将对象转化成JSON格式的字符串
  • Fastjson反序列化:JSON.parseObject()方法,将JSON格式的字符串转化成对象

3. 漏洞原理分析

3.1  源码补丁分析

通过github上发布的更新补丁的源码比较可以看到主要的更新在这个checkAutoType函数上,而这个函数的主要功能就是添加了黑名单,将一些常用的反序列化利用库都添加到黑名单中。

github补丁源码diff

这里写图片描述

这里构造了一个denyList数组,主要利用黑名单机制把常用的反序列化利用库都添加到黑名单中,主要有:

denyList = "bsh,com.mchange,com.sun.,java.lang.Thread,java.net.Socket,java.rmi,javax.xml,org.apache.bcel,org.apache.commons.beanutils,org.apache.commons.collections.Transformer,org.apache.commons.collections.functors,org.apache.commons.collections4.comparators,org.apache.commons.fileupload,org.apache.myfaces.context.servlet,org.apache.tomcat,org.apache.wicket.util,org.codehaus.groovy.runtime,org.hibernate,org.jboss,org.mozilla.javascript,org.python.core,org.springframework".split(",");

同时添加了checkAutoType类:

这里写图片描述

源码

public Class<?> checkAutoType(String typeName) {
            if (typeName == null) {
                 return null;
             }

             final String className = typeName.replace('$', '.');

             if (autoTypeSupport) {
                 for (int i = 0; i < denyList.length; ++i) {
                     String deny = denyList[i];
                     if (className.startsWith(deny)) {
                         throw new JSONException("autoType is not support. " + typeName);
                     }
                 }
             }

             Class<?> clazz = TypeUtils.getClassFromMapping(typeName);
             if (clazz == null) {
                 clazz = derializers.findClass(typeName);
             }

             if (clazz != null) {
                 return clazz;
             }

             for (int i = 0; i < acceptList.length; ++i) {
                 String accept = acceptList[i];
                 if (className.startsWith(accept)) {
                     return TypeUtils.loadClass(typeName, defaultClassLoader);
                 }
             }

             if (autoTypeSupport) {
                 clazz = TypeUtils.loadClass(typeName, defaultClassLoader);
             }

             if (clazz != null) {
                 if (ClassLoader.class.isAssignableFrom(clazz) || DataSource.class.isAssignableFrom(clazz)) {
                     throw new JSONException("autoType is not support. " + typeName);
                 }

                 if (derializers.get(clazz) != null) {
最低0.47元/天 解锁文章
Fastjson反序列化漏洞史1
08-03
在2020年5月8日的分析中,文章提到了Fastjson反序列化漏洞的历史,并对一些关键的更新和漏洞时间线进行了梳理。由于Fastjson并未在CVE(Candidate Vulnerabilities Enumeration)数据库中注册,因此查找历史漏洞事件...
安全漏洞Fastjson反序列化漏洞
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最新版本1.2.83..
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub,保姆级的详细教程)
热门推荐
Bossfrank的博客
04-12 3万+
本文是Fastjson1.2.24漏洞复现,包括漏洞原理、漏洞利用(远程创建文件)、漏洞利用(反弹shell)。使用vulhub靶场进行搭建,保姆级教程,还望大家多多支持。
Fastjson反序列化
Thewei666的博客
10-04 1208
Fastjson反序列化一共有三条利用链反序列化核心反序列化是通过字符串或字节流,利用Java的反射机制重构一个对象。
解决 com.alibaba.fastjson.JSONException: autoType is not support 异常处理
lizhengyu891231的博客
03-05 3694
转载自:https://blog.csdn.net/wgzhl2008/article/details/82184240 叙述 最近在使用spring-data-redis时,使用fastjson的序列化方式 GenericFastJsonRedisSerializer 可以正常序列化,但在反序列化时发生了如下异常 com.alibaba.fastjson.JSONException:...
com.alibaba.fastjson2.JSONException: autoType is not support解决方法
meser88的博客
05-16 5800
备注:这种错误一般出现在我们往redis里面存第三方jar包中的对象,该对象一般没有无参构造,如果你是自定义的类,可以加上无参构造试试看,当然这种方案比较LOW啊,毕竟又涉及新建对象的开销。,我查询的一些博客说的是,序列化的这个类没有默认的无参构造方法,具体如何没有深究,于是在加了各种配置没有解决问题后,我就按这个思路包装了一下原来的类。并没有这个GenericFastJsonRedisSerializer,我换了依赖测试了下,上面的解决方案成功。的回答bug单里面已经使用到了 ,并没有解决问题。
dubbo源码分析-dubbo-serialization
m0_67401134的博客
04-01 780
dubbo-serialization dubbo-serialization是dubbo中实现序列化相关的代码。 共5种序列化方式,可从名字直接看出含义,这里不再赘述。 dubbo-serialization-fastjson dubbo-serialization-fst dubbo-serialization-hessian2 dubbo-serialization-jdk dubbo-serialization-kryo dubbo-serialization-api dubbo-serial
阿里巴巴开源的FastJson 1反序列化漏洞复现流程
最新发布
10-04
包含RMI服务所需的内容和测试使用的攻击FastJson1反序列化漏洞Java文件
Fastjson各版本反序列化EXP 1.2.24 1.2.41 1.2.42 1.2.43 1.2.45 48 62 66
03-29
# Fastjson反序列化漏洞为例 1、此时/tmp目录 ![img]...
Java反序列化漏洞自动挖掘方法.pdf
08-21
自动化挖掘Java反序列化漏洞的方法通常涉及静态分析,这类似于可达性分析问题。可以通过构建调用树来搜索从反序列化入口到危险方法的可能路径。两种主要的搜索算法是深度优先搜索(DFS)和广度优先搜索(BFS)。DFS...
技术专栏 _ 深入理解JNDI注入与Java反序列化漏洞利用.pdf
09-18
文章中提到了JdbcRowSetImpl利用链和FastJson反序列化漏洞,这些是JNDI注入攻击利用的实例。JdbcRowSetImpl是Java的一个类,它允许通过JNDI进行远程调用。FastJson是一个广泛使用的Java库,用于对象到JSON的序列化与...
解决com.alibaba.fastjson.JSONException:autoType is not support问题,Redis FastJson
djouyang9090的博客
03-17 9322
解决fastjson反序列化问题,fastjson2.0.xx,redisconfig
fastJson序列化异常:com.alibaba.fastjson.JSONException: autoType is not supported.
TechPulseZ的博客
08-16 1902
fastJson 为了防止反序列化中的安全漏洞,禁止了默认的自动类型转换功能。自动类型转换指的是当 JSON 字符串反序列化为对象时,fastJson 会尝试根据 JSON 字符串中的类型信息自动转换为相应的 Java 对象。但是,这种自动类型转换可能会被攻击者利用,导致安全风险,因此 fastJson 默认情况下禁止了该功能。为了解决该异常,我们可以使用指定的类型进行序列化和反序列化、设置。上述代码中,“com.example.model.ObjType” 是允许进行序列化和反序列化的类型。
dubbo源码分析 - 序列化与反序列化
赵小叔
07-28 2232
  概念: 序列化:把对象转换为字节序列的过程称为对象的序列化。  反序列化:把字节序列恢复为对象的过程称为对象的反序列化。   在Dubbo RPC中,同时支持多种序列化方式: (1)dubbo序列化,阿里尚不成熟的java序列化实现。 (2)hessian2序列化:hessian是一种跨语言的高效二进制的序列化方式,但这里实际不是原生的hessian2序列化,而是阿里修改过的hes...
fastjson2.0.8 错误:fastjson2 not support input null
sayyy的专栏
10-09 2042
fastjson2.0.8 错误:fastjson2 not support input null
fastjson SerializerFeature详解
慎独
12-03 1078
依赖 &lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; &lt;version&gt;1.2.7&lt;/version&gt;
关于Fastjson反序列化远程代码执行漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
05-25 1万+
一、风险描述 集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。 Fastjson是开源JSON解析库,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
TANG256tang的博客
02-08 2235
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
FastJson应用
m0_52174905的博客
01-17 2091
json的结构主要就是[],代表这是一个数组,{},代表这是一个对象, 对象转成json String json=JSON.toJSONString(new BankTableHead().setTableHeadInfo("日期")); map集合转成json list转成json
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值