Fastjson反序列化漏洞基础

FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。

0x0 简单使用

pom.xml加入FastJson

<dependency>

<groupId>com.alibaba</groupId>

<artifactId>fastjson</artifactId>

<version>1.2.24</version>

</dependency>

新建一个User1类,注意这个类有两个属性age和name,并且其两个属性都有get/set方法:

package com.yy.FastJson.demo;

public class User1 {

    private String name;

    public User1() {

        System.out.println("User()");

    }

    public String getName() {

        System.out.println("getName()");

        return name;

    }

    public void setName(String name) {

        System.out.println("setName()");

        this.name = name;

    }

}

0x1 Fastjson的序列化

fastjson是用toJSONString方法来进行的序列化,使用方法:

package com.yy.FastJson.demo;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.serializer.SerializerFeature;

public class serialize {

    public static void main(String[] args){

        User student = new User();

        student.setName("yangyang");

        String st = JSON.toJSONString(student, SerializerFeature.WriteClassName);

        System.out.println(st);

    }

}

这里输出结果为:

可以看到在序列化成json字符串时候会调用get方法,而这里的SerializerFeature.WriteClassName是toJSONString()方法中的一个属性值,设置之后在序列化的时候会多写入一个@type,后面指定反序列化的类名

# 设置了SerializerFeature.WriteClassName属性

{"@type":"com.yy.FastJson.demo.User1","name":"yangyang"}

# 未设置SerializerFeature.WriteClassName属性

{"name":"yangyang"}

0x2 Fastjson的反序列化

在fastjson中,有三种方式进行反序列化:

JSON.parse(json)

JSON.parseObject(json)

JSON.parseObject(json, User.class)

新建一个unserialize类来理解这三个方法的区别:

package com.yy.FastJson.demo;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.JSONObject;

public class unserialize {

    public static void main(String[] args){

        String json ="{\"@type\":\"com.yy.FastJson.demo.User1\",\"name\":\"yangyang\"}";

        System.out.println("parse(json)");

        User1 obj01 = (User1)JSON.parse(json);

        System.out.println(obj01);

        System.out.println("--------------------------------------");

        System.out.println("parseObject(json)");

        JSONObject obj02 = JSON.parseObject(json);

        System.out.println(obj02);

        System.out.println("--------------------------------------");

        System.out.println("parseObject(json, User.class)");

        User1 obj03 = JSON.parseObject(json, User1.class);

        System.out.println(obj03);

    }

}

输出结果:

parse(json)

User()

setName()

com.yy.FastJson.demo.User1@6d21714c

--------------------------------------

parseObject(json)

User()

setName()

getName()

{"name":"yangyang"}

--------------------------------------

parseObject(json, User.class)

User()

setName()

com.yy.FastJson.demo.User1@5b80350b

可以看到,只有parseObject(json)调用了getName方法

其原因是因为parseObject(json) 本质上也是调用 parse(json) 进行反序列化的。但是 parseObject(json) 会额外的将Java对象转为 JSONObject对象,即 JSON.toJSON(),所以会多调用一个get方法

引出问题:是不是除了parseObject(json) ,其余两种方式是无法调用get方法的呢

新建一个User2,加入一个age方法,并且类型是Properties

import java.util.Properties;

public class User2 {

    private String name;

    private Properties age;

    public User2() {

        System.out.println("User()");

    }

    public String getName() {

        System.out.println("getName()");

        return name;

    }

    public void setName(String name) {

        System.out.println("setName()");

        this.name = name;

    }

    public Properties getAge() {

        System.out.println("getAge()");

        return age;

    }

    public Properties setAge() {

        System.out.println("setAge()");

        return age;

    }

}

修改unserialize里面得User1成User2

package com.yy.FastJson.demo;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.JSONObject;

public class unserialize {

    public static void main(String[] args){

        String json ="{\"@type\":\"com.yy.FastJson.demo.User2\",\"name\":\"yangyang\",\"age\":{ }}";

        System.out.println("parse(json)");

        User2 obj01 = (User2)JSON.parse(json);

        System.out.println(obj01);

        System.out.println("--------------------------------------");

        System.out.println("parseObject(json)");

        JSONObject obj02 = JSON.parseObject(json);

        System.out.println(obj02);

        System.out.println("--------------------------------------");

        System.out.println("parseObject(json, User.class)");

        User2 obj03 = JSON.parseObject(json, User2.class);

        System.out.println(obj03);

    }

}

运行结果:

parse(json)

User()

setName()

getAge()

com.yy.FastJson.demo.User2@4459eb14

--------------------------------------

parseObject(json)

User()

setName()

getAge()

getAge()

getName()

{"name":"yangyang"}

--------------------------------------

parseObject(json, User.class)

User()

setName()

getAge()

com.yy.FastJson.demo.User2@4f2410ac

可以看到,所有的getAge方法都调用了一次。

这里除了parseObject(json)会直接调用getAge()外,其他两种方式调用getAge方法是有条件的。

条件一、方法名需要长于4

条件二、不是静态方法

条件三、以get字符串开头,且第四个字符需要是大写字母

条件四、方法不能有参数传入

条件五、继承自Collection || Map || AtomicBoolean || AtomicInteger ||AtomicLong

条件六、此getter不能有setter方法(程序会先将目标类中所有的setter加入fieldList列表,因此可以通过读取fieldList列表来判断此类中的getter方法有没有setter)

更详细的解析可以看看这篇文章:

https://www.anquanke.com/post/id/211035#h3-3

为了方便记忆,拿了一张大佬的图:

图片来源:https://www.cnblogs.com/sijidou/p/13121332.html?ivk_sa=1024320u

parseObject(json)会直接调用get方法,其他的则需要满足条件

所以,在反序列化的时候,会把目标类的构造函数、getter方法、setter方法、is方法执行,如果此时这四个方法中有危险操作,则会导致反序列化漏洞。

参考:

https://www.anquanke.com/post/id/211035#h2-5

https://blog.csdn.net/qq_34101364/article/details/111706189

Fastjson反序列化漏洞基础的更多相关文章

  1. Java安全之Fastjson反序列化漏洞分析

    Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础.利于后面的漏洞分析. 0x01 Fas ...

  2. Fastjson反序列化漏洞概述

    Fastjson反序列化漏洞概述 ​ 背景 在推动Fastjson组件升级的过程中遇到一些问题,为帮助业务同学理解漏洞危害,下文将从整体上对其漏洞原理及利用方式做归纳总结,主要是一些概述性和原理上的东 ...

  3. fastjson反序列化漏洞研究(上)

    前言 最近护网期间,又听说fastjson传出“0day”,但网上并没有预警,在github上fastjson库中也有人提问关于fastjson反序列化漏洞的详情.也有人说是可能出现了新的绕过方式.不 ...

  4. fastjson反序列化漏洞实际案例利用

    fastjson反序列化rce实际案例利用全过程: 存在问题网站:http://***.com/ 在网站上寻找一些安全漏洞的时候,发现一条json数据包 数据包如下: POST /*** HTTP/1 ...

  5. Fastjson反序列化漏洞复现

    Fastjson反序列化漏洞复现 0x00 前言 对Fastjson反序列化漏洞进行复现. 0x01 漏洞环境 靶机环境:vulhub-fastjson-1.2.24 ip:172.16.10.18 ...

  6. JAVA反序列化漏洞基础原理

    JAVA反序列化漏洞基础原理 1.1 什么是序列化和反序列化? Java序列化是指把Java对象转换为字节序列的过程: Java反序列化是指把字节序列恢复为Java对象的过程: 1.2 为什么要序列化 ...

  7. Fastjson反序列化漏洞分析 1.2.22-1.2.24

    Fastjson反序列化漏洞分析 1.2.22-1.2.24 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两 ...

  8. .NET高级代码审计(第三课)Fastjson反序列化漏洞

    0X00 前言 Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置 ...

  9. FastJson反序列化漏洞利用的三个细节 - TemplatesImpl的利用链

    0. 前言 记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题. 1. TemplatesImpl的利用链 关于 parse 和 parseObject FastJson中的 pars ...

随机推荐

  1. Python从零开始编写控制程序(一)

    Python之从零开始编写控制程序(一) 在此声明:本博客仅供学习参考,任何产生相关违法犯罪行为与本人无关. 另外如果有师傅有好的思路和想法,可以和我一起沟通交流. 最近在一直尝试做Powershel ...

  2. 2020年最新阿里、字节、腾讯、京东等一线大厂高频面试(Android岗)真题合集,面试轻松无压力

    本文涵盖了阿里巴巴.腾讯.字节跳动.京东.华为等大厂的Android面试真题,不管你是要面试大厂还是普通的互联网公司,这些面试题对你肯定是有帮助的,毕竟大厂一定是行发展的标杆,很多公司的面试官同样会研 ...

  3. 课程设计- 基于ssm的捐赠物资分配管理系统 && 基于java的申请救援管理系统

    课程设计- 基于ssm的捐赠物资分配管理系统 && 基于java的申请救援管理系统 注意:该项目只展示部分功能,如需了解,评论区咨询即可. 1.开发环境 开发语言:Java 后台框架: ...

  4. 阿里云云服务器 ECS和云数据库 PolarDB的简单使用

    阿里云云服务器 ECS和云数据库 PolarDB的简单使用 仅作为记录自己的操作使用,主要是怕自己太久不用都忘了 登录阿里云以后点击控制台 然后找到云服务器ECS,点击进入 在左侧找到实例,点击进入 ...

  5. 【笔记】KNN之超参数

    超参数 超参数 很多时候,对于算法来说,关于这个传入的参数,传什么样的值是最好的? 这就涉及到了机器学习领域的超参数 超参数简单来说就是在我们运行机器学习之前用来指定的那个参数,就是在算法运行前需要决 ...

  6. sqli-labs lesson 11-15

    从这一关开始我们开始进入到post注入的世界了,什么是post呢?就是数据从客户端提交到服务器端,例如我们在登录过程中,输入用户名和密码,用户名和密码以表单的形式提交,提交到服务器后服务器再进行验证. ...

  7. Pikachu-Over Permission模块

    一.概述 如果使用A用户的权限去操作B用户的数据,A的权限小于B的权限,如果能够成功操作,则称之为越权操作. 越权漏洞形成的原因是后台使用了 不合理的权限校验规则导致的. 一般越权漏洞容易出现在权限页 ...

  8. MySQL JOIN的使用

    JOIN的使用 JOIN 理论 MySQL 七种 JOIN 的 SQL 编写 环境搭建 # 创建部门表 CREATE TABLE tbl_dept ( id INT NOT NULL AUTO_INC ...

  9. 分享一份【饿了么】Java面试专家岗面试题,欢迎留言交流哦!

    前段时间有小伙伴去饿了么面试Java专家岗,记录了一面技术相关的问题,大家可以看看. 基础问题 1.数据库事务的隔离级别? 2.事务的几大特性,并谈一下实现原理 3.如何用redis实现消息的发布订阅 ...

  10. Angular Module 共享模块使用 父模块使用多个子模块

      Component.module.ts import {BrowserModule} from '@angular/platform-browser'; import {LocationStrat ...