Fastjson漏洞分析与复现

原创 已于 2024-08-27 10:46:03 修改 · 1.8k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#fastjson

于 2024-08-26 22:46:02 首次发布

一、基础知识

Fastjson介绍:

fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。

Fastjson序列化/反序列化原理

fastjson漏洞的本质是一个 java 的反序列化漏洞,由于引进了 AutoType 功能,fastjson 在对 json 字符串反序列化的时候,会读取到 @type 的内容,将json内容反序列化为java对象并调用这个类的setter方法。

那么为啥要引进Auto Type功能呢?

fastjson在序列化以及反序列化的过程中并没有使用Java自带的序列化机制,而是自定义了一套机制。其实,对于JSON框架来说,想要把一个Java对象转换成字符串,可以有两种选择:

1.基于setter/getter

2.基于属性(AutoType)

基于setter/getter会带来什么问题呢,下面举个例子,假设有如下两个类:

class Apple implements Fruit {
   
   
    private Big_Decimal price;
    //省略 setter/getter、toString等
}
 
class iphone implements Fruit {
   
   
    private Big_Decimal price;
    //省略 setter/getter、toString等
}

实例化对象之后,假设苹果对象的price为0.5,Apple类对象序列化为json格式后为:

{
   
   "Fruit":{
   
   "price":0.5}}

假设iphone对象的price为5000,序列化为json格式后为:

{
   
   "Fruit":{
   
   "price":5000}}

当一个类只有一个接口的时候,将这个类的对象序列化的时候,就会将子类抹去(apple/iphone)只保留接口的类型(Fruit),最后导致反序列化时无法得到原始类型。本例中,将两个json再反序列化生成java对象的时候,无法区分原始类是apple还是iphone。

为了解决上述问题:fastjson引入了基于属性(AutoType),即在序列化的时候,先把原始类型记录下来。使用@type的键记录原始类型,在本例中,引入AutoType后,Apple类对象序列化为json格式后为:

{
   
    "fruit":{
   
    "@type"
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4384
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
Vulhub:Fastjson[漏洞复现]
如有错误感谢斧正
12-15 965
在特定条件下调用这些类的公共方法。如果一个。
fastjson反序列化漏洞各版本漏洞复现以及原理分析
问题很多的小明
08-25 3747
0x00 环境快速搭建 maven仓库https://mvnrepository.com/artifact/com.alibaba/fastjson,每个版本都有 直接导入对应漏洞版本即可 0x01 1.2.22~1.2.24 参考廖师傅的文章,写的比较好,点这里,传送门 利用链:com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl POC.test package com.test.fast; import com.su
快速掌握Fastjson:Java JSON库使用指南
最新发布
weixin_42128315的博客
07-08 665
Fastjson是一款流行的Java语言编写的高性能JSON库,由阿里巴巴开源,它提供了一系列操作JSON数据的便捷API。本章节将带你快速了解Fastjson的核心功能,包括它的基本用途、特点以及它如何在日常开发中简化JSON数据的处理工作。JSONPath的设计受到了XPath的启发,两者在使用上有许多相似之处。例如,JSONPath使用点表示法和方括号表示法来访问对象和数组的元素,类似于XPath中的元素和属性选择器。这种设计使得熟悉XPath的用户能快速上手JSONPath。
FastJson 漏洞复现
来日可期的博客
09-11 3335
FastJson 1.2.24 反序列化导致任意命令执行漏洞Fastjson 1.2.47 远程命令执行漏洞
Fastjson1.0漏洞复现
qq_38415434的博客
12-29 1386
服务器kali linux 攻击机win10 搭建好环境之后,测试漏洞 证明存在漏洞 生成payload {"@type":“com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl”,"_bytecodes":[“yv66vgAAADQAsAcAAgEAF2NvbS9zZWNmcmVlL3d3dy9QYXlsb2FkBwAEAQBAY...
fastjson(反序列化)漏洞复现
weixin_58954236的博客
09-11 1508
FastJson是Alibaba的一款开源Json解析库,可用于将Java对象转换为其Json表示形式,也可以用于将Json字符串转换为等效的Java对象。近几年来FastJson漏洞层出不穷。RCE漏洞的源头:17年FastJson爆出的1.2.24反序列化漏洞。​ 关于FastJson1.2.24反序列化漏洞,简单来说,就是FastJson通过parseObject/parse将传入的字符串反序列化为Java对象时由于没有进行合理检查而导致的。
Fastjson漏洞
qq_50854662的博客
10-09 6161
Fastjson漏洞
Fastjson反序列化漏洞原理漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5673
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
Fastjson 漏洞复现1.2.24-rce
人们并不感谢罗辑
08-22 2037
fastjson是阿里巴巴开源的一个json解析库,能将json对象和json字符串进行序列化和反序列化操作。autotype功能是是漏洞的关键,autotype允许用户通过@type字段来选择具体的类进行反序列化。如果用户没有对反序列化的类进行严格限制,攻击者可以构造恶意的json字符串来触发这个漏洞
fastjson反序列化漏洞复现
余十步的博客
06-05 483
靶机IP:192.168.253.134攻击机IP:192.168.142.44。
Fastjson漏洞复现
weixin_53747497的博客
03-29 2477
Fastjson 是阿里巴巴公司开源的一款 JSON 解析器,它可以解析 JSON 格式的字符串, 支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 Java Bean。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法 来 访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
FastJson反序列化漏洞复现
小赵同学的博客
07-29 4189
漏洞利用FastJson autotype处理Json对象的时候,未对@type字段进行完整的安全性验证,攻击者可以传入危险类,并调用危险类连接远程RMI主机,通过其中的恶意类执行代码。攻击者通过这种方式可以实现远程代码执行漏洞,获取服务器敏感信息,甚至可以利用此漏洞进一步的对服务器数据进行操作。......
Fastjson反序列化漏洞复现
weixin_52501704的博客
01-02 2366
Fastjson反序列化漏洞复现
复现fastjson反序化漏洞(fastjson≤1.2.80)
TVT111的博客
07-21 4577
文章利用JNDI-Injection-Exploit工具,主要讲解如何利用JNDI注入复现fastjson反序化漏洞
fastjson漏洞复现
buffedon的博客
08-01 3072
fastjson漏洞复现fastjson漏洞原理简介靶机环境搭建漏洞探测发送一个错的数据包正确的数据包发送漏洞利用docker 搭建靶机编译恶意类启动HTTP服务启动rmi服务发送数据利用fastjson漏洞反弹shell fastjson漏洞原理简介 若lookup函数中的参数攻击者可控,便可以指向攻击者的服务器,即可实现JNDI注入实现任意代码执行。 原理(流程): 攻击者访问目标网站,通过burpsuite抓包,以json的格式添加 JdbcRowSetImpl 恶意类信息,发送给目标机。
fastjson反序列化漏洞手把手复现
潇逗
07-22 1372
需要登录网址 https://www.oracle.com/java/technologies/javase/javase8-archive-downloads.html ,选择自己需要的java版本下载。ngrok使用参考https://editor.csdn.net/md/?这里第135后面跟的4444端口是开启Http映射的时候设置的端口,后面的9999端口是我们rmi服务用来监听的端口。(1)官网下载 https://maven.apache.org/download.cgi。
FastJson 又被爆出漏洞,是时候抛弃了
开发者技术前线-DevolperFront
06-09 1063
点击“开发者技术前线”,选择“星标????”在看|星标|留言, 真爱链接:urlify.cn/iYN3Uj回复“666”获取一份专属大礼包2020年05月28日, 360CERT监测发...
fastjson漏洞原理和复现
08-19
Fastjson的反序列化漏洞是一种远程代码执行漏洞,攻击者可以通过构造恶意的JSON字符串,使得Fastjson在解析过程中触发漏洞,最终导致攻击者可以执行任意代码。 漏洞的原理如下: 1. Fastjson在反序列化时会自动调用默认构造函数创建对象,并使用setter方法或直接访问字段赋值。 2. 攻击者构造的恶意JSON字符串中包含一个特制的类名和数据,当Fastjson解析该JSON字符串时,会尝试通过反射实例化该类。 3. 在实例化过程中,攻击者可以通过在JSON字符串中设置特别设计的数据来触发恶意代码执行,例如利用Java反射机制调用任意方法。 要复现Fastjson漏洞,需要进行以下步骤: 1. 构造一个恶意的JSON字符串,其中包含特制的类名和数据。 2. 利用该JSON字符串触发Fastjson的反序列化过程。 3. 在反序列化过程中,触发恶意代码执行。 请注意,复现漏洞需要谨慎操作,并且仅在合法授权的环境中进行。漏洞利用是违法行为,请勿用于非法用途。 如果您对Fastjson漏洞有更深入的研究兴趣,建议参考Fastjson官方的安全公告和相关漏洞报告,以及进行更详细的研究和实验。 希望以上回答能对您有所帮助!如果您有任何其他问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值