0. 前言

记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题。

1. TemplatesImpl的利用链

关于 parse 和 parseObject

FastJson中的 parse() 和 parseObject()方法都可以用来将JSON字符串反序列化成Java对象,parseObject() 本质上也是调用 parse() 进行反序列化的。但是 parseObject() 会额外的将Java对象转为 JSONObject对象,即 JSON.toJSON()。所以进行反序列化时的细节区别在于,parse() 会识别并调用目标类的 setter 方法及某些特定条件的 getter 方法,而 parseObject() 由于多执行了 JSON.toJSON(obj),所以在处理过程中会调用反序列化目标类的所有 setter 和 getter 方法。parseObject() 的源代码如下:

public static JSONObject parseObject(String text) {

        Object obj = parse(text);

        if (obj instanceof JSONObject) {

            return (JSONObject) obj;

        }

        return (JSONObject) JSON.toJSON(obj);

}

举个简单的例子:

public class FastJsonTest {

    public String name;

    public String age;

    public FastJsonTest() throws IOException{

    }

    public void setName(String test) {

        System.out.println("name setter called");

        this.name = test;

    }

    public String getName() {

        System.out.println("name getter called");

        return this.name;

    }

    public String getAge(){

        System.out.println("age getter called");

        return this.age;

    }

    public static void main(String[] args) {

        Object obj = JSON.parse("{\"@type\":\"fastjsontest.FastJsonTest\",\"name\":\"thisisname\", \"age\":\"thisisage\"}");

        System.out.println(obj);

        Object obj2 = JSON.parseObject("{\"@type\":\"fastjsontest.FastJsonTest\",\"name\":\"thisisname\", \"age\":\"thisisage\"}");

        System.out.println(obj2);

    }

}

上述代码运行后可以看到,执行parse() 时,只有 setName() 会被调用。执行parseObject() 时,setName()、getAge()、getName() 均会被调用。

为什么会触发getOutputProperties()

感觉上 parse() 进行反序列化创建Java类应该只会调用 setter 方法进行成员变量赋值才对,会什么会触发TemplatesImpl类中的 getOutputProperties() 方法呢?

另外 _outputProperties 成员变量和 getOutputProperties() 明明差了一个_字符,是怎么被 FastJson 关联上的?

如上一小节所述,parse() 进行反序列化时其实会调用某些特定的 getter 方法进行字段解析,而 TemplatesImpl类中的 getOutputProperties() 方法恰好满足这一条件。

FastJson反序列化到Java类时主要逻辑如下:

  1. 获取并保存目标Java类中的成员变量、setter、getter。
  2. 解析JSON字符串,对字段逐个处理,调用相应的setter、getter进行变量赋值。

我们先看第一步,这里由 JavaBeanInfo.build() 进行处理,FastJson会创建一个filedList数组,用来保存目标Java类的成员变量以及相应的setter或getter方法信息,供后续反序列化字段时调用。

filedList大致结构如下:

[

    {

        name:"outputProperties",

        method:{

            clazz:{},

            name:"getOutputProperties",

            returnType:{},

            ...

        }

    }

]

FastJson并不是直接反射获取目标Java类的成员变量的,而是会对setter、getter、成员变量分别进行处理,智能提取出成员变量信息。逻辑如下:

  1. 识别setter方法名,并根据setter方法名提取出成员变量名。如:识别出setAge()方法,FastJson会提取出age变量名并插入filedList数组。
  2. 通过clazz.getFields()获取成员变量。
  3. 识别getter方法名,并根据getter方法名提取出成员变量名。

可以看到在 JavaBeanInfo.build() 中,有一段代码会对getter方法进行判断,在某些特殊条件下,会从getter方法中提取出成员变量名并附加到filedList数组中。而TemplatesImpl类中的 getOutputProperties() 正好满足这个特定条件。getter方法的处理代码为:

JavaBeanInfo.java

public static JavaBeanInfo build(Class<?> clazz, Type type, PropertyNamingStrategy propertyNamingStrategy) {

    ...

    for (Method method : clazz.getMethods()) { // getter methods

        String methodName = method.getName();

        if (methodName.length() < 4) {

            continue;

        }

        if (Modifier.isStatic(method.getModifiers())) {

            continue;

        }

        if (methodName.startsWith("get") && Character.isUpperCase(methodName.charAt(3))) {

            if (method.getParameterTypes().length != 0) {

                continue;

            }

            // 关键条件

            if (Collection.class.isAssignableFrom(method.getReturnType()) //

                || Map.class.isAssignableFrom(method.getReturnType()) //

                || AtomicBoolean.class == method.getReturnType() //

                || AtomicInteger.class == method.getReturnType() //

                || AtomicLong.class == method.getReturnType() //

            ) {

                String propertyName;

                JSONField annotation = method.getAnnotation(JSONField.class);

                if (annotation != null && annotation.deserialize()) {

                    continue;

                }

                if (annotation != null && annotation.name().length() > 0) {

                    propertyName = annotation.name();

                } else {

                    propertyName = Character.toLowerCase(methodName.charAt(3)) + methodName.substring(4);

                }

                FieldInfo fieldInfo = getField(fieldList, propertyName);

                if (fieldInfo != null) {

                    continue;

                }

                if (propertyNamingStrategy != null) {

                    propertyName = propertyNamingStrategy.translate(propertyName);

                }

                add(fieldList, new FieldInfo(propertyName, method, null, clazz, type, 0, 0, 0, annotation, null, null));

            }

        }

    }

    ...

}

接下来,FastJson会语义分析JSON字符串。根据字段key,调用filedList数组中存储的相应方法进行变量初始化赋值。具体逻辑在 parseField() 中实现:

JavaBeanDeserializer

public boolean parseField(DefaultJSONParser parser, String key, Object object, Type objectType,

                              Map<String, Object> fieldValues) {

        JSONLexer lexer = parser.lexer; // xxx

        FieldDeserializer fieldDeserializer = smartMatch(key);

        ...

        return true;

    }

这里调用了一个神奇的 smartMatch() 方法,smartMatch()时会替换掉字段key中的_,从而 _outputProperties 和 getOutputProperties() 可以成功关联上。

JavaBeanDeserializer

public FieldDeserializer smartMatch(String key) {

        if (fieldDeserializer == null) {

            boolean snakeOrkebab = false;

            String key2 = null;

            for (int i = 0; i < key.length(); ++i) {

                char ch = key.charAt(i);

                if (ch == '_') {

                    snakeOrkebab = true;

                    key2 = key.replaceAll("_", "");

                    break;

                } else if (ch == '-') {

                    snakeOrkebab = true;

                    key2 = key.replaceAll("-", "");

                    break;

                }

            }

            if (snakeOrkebab) {

                fieldDeserializer = getFieldDeserializer(key2);

                if (fieldDeserializer == null) {

                    for (FieldDeserializer fieldDeser : sortedFieldDeserializers) {

                        if (fieldDeser.fieldInfo.name.equalsIgnoreCase(key2)) {

                            fieldDeserializer = fieldDeser;

                            break;

                        }

                    }

                }

            }

        }

为什么需要对_bytecodes进行Base64编码

细心的你可以发现,PoC中的 _bytecodes 字段是经过Base64编码的。为什么要这么做呢? 分析FastJson对JSON字符串的解析过程,原来FastJson提取byte[]数组字段值时会进行Base64解码,所以我们构造payload时需要对 _bytecodes 进行Base64处理。FastJson的处理代码如下:

ObjectArrayCodec

    public <T> T deserialze(DefaultJSONParser parser, Type type, Object fieldName) {

        final JSONLexer lexer = parser.lexer;

        // ......省略部分代码

        if (lexer.token() == JSONToken.LITERAL_STRING) {

            byte[] bytes = lexer.bytesValue();  // ... 在这里解析byte数组值

            lexer.nextToken(JSONToken.COMMA);

            return (T) bytes;

        }

// 接着调用JSONScanner.bytesValue()

JSONScanner

    public byte[] bytesValue() {

      return IOUtils.decodeBase64(text, np + 1, sp);

    }

 

FastJson反序列化漏洞利用的三个细节 - TemplatesImpl的利用链的更多相关文章

  1. fastjson反序列化漏洞实际案例利用

    fastjson反序列化rce实际案例利用全过程: 存在问题网站:http://***.com/ 在网站上寻找一些安全漏洞的时候,发现一条json数据包 数据包如下: POST /*** HTTP/1 ...

  2. Fastjson反序列化漏洞概述

    Fastjson反序列化漏洞概述 ​ 背景 在推动Fastjson组件升级的过程中遇到一些问题,为帮助业务同学理解漏洞危害,下文将从整体上对其漏洞原理及利用方式做归纳总结,主要是一些概述性和原理上的东 ...

  3. Java安全之Fastjson反序列化漏洞分析

    Java安全之Fastjson反序列化漏洞分析 首发:先知论坛 0x00 前言 在前面的RMI和JNDI注入学习里面为本次的Fastjson打了一个比较好的基础.利于后面的漏洞分析. 0x01 Fas ...

  4. Fastjson反序列化漏洞分析 1.2.22-1.2.24

    Fastjson反序列化漏洞分析 1.2.22-1.2.24 Fastjson是Alibaba开发的Java语言编写的高性能JSON库,用于将数据在JSON和Java Object之间互相转换,提供两 ...

  5. Fastjson反序列化漏洞复现

    Fastjson反序列化漏洞复现 0x00 前言 对Fastjson反序列化漏洞进行复现. 0x01 漏洞环境 靶机环境:vulhub-fastjson-1.2.24 ip:172.16.10.18 ...

  6. Fastjson反序列化漏洞基础

    Fastjson反序列化漏洞基础 FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象. 0x0 ...

  7. fastjson反序列化漏洞研究(上)

    前言 最近护网期间,又听说fastjson传出“0day”,但网上并没有预警,在github上fastjson库中也有人提问关于fastjson反序列化漏洞的详情.也有人说是可能出现了新的绕过方式.不 ...

  8. .NET高级代码审计(第三课)Fastjson反序列化漏洞

    0X00 前言 Java中的Fastjson曾经爆出了多个反序列化漏洞和Bypass版本,而在.Net领域也有一个Fastjson的库,作者官宣这是一个读写Json效率最高的的.Net 组件,使用内置 ...

  9. fastjson 反序列化漏洞利用总结

    比赛遇到了,一直没利用成功,这里做个记录. 环境搭建 首先用 vulhub 搭建 fastjson 的漏洞环境. 漏洞环境程序的逻辑为接收 body 的数据然后用 fastjson 解析. 漏洞利用 ...

随机推荐

  1. Gitflow 工作流程

    目存在两个长期分支: 主分支master 开发分支develop 前者用于存放对外发布的版本,任何时候在这个分支拿到的,都是稳定的分布版: 后者用于日常开发,存放最新的开发版. 其次,开发新功能或者修 ...

  2. android 短期计划

    http://www.jianshu.com/p/2a9fcf3c11e4 http://www.jianshu.com/p/5f6d79323923 activity启动模式: http://www ...

  3. 为什么C语言会有头文件

    前段时间一个刚转到C语言的同事问我,为什么C会多一个头文件,而不是像Java和Python那样所有的代码都在源文件中.我当时回答的是C是静态语言很多东西都是需要事先定义的,所以按照惯例我们是将所有的定 ...

  4. 引爆你的Javascript代码进化 (转)

    转自 海玉的博客 方才在程序里看到一段JS代码,写法极为高明,私心想着若是其按照规范来写,定可培养对这门语言的理解,对JS编程能力提高必是极好的.说人话:丫代码写的太乱,看的窝火! 最近闲暇无事,准备 ...

  5. Python3循环语句

    Python3 循环语句 Python中的循环语句有for和while. 循环语句控制结构图如下: 一.while循环 ①循环结构 while 判断条件: 执行语句 实例: n = int(input ...

  6. 关于GitHubGit

    一.Github项目地址:https://github.com/gyguyt/Helloworld123 二.什么是Github? Git是一款免费.开源的分布式版本控制系统,用于敏捷高效地处理任何或 ...

  7. 长大Tips的第二步

    由于期末将至的缘故,组员们对于这次项目都开始表现出了懈怠的情绪,故而这一次并没有完成许多实质性的任务,相较于上一次,此次增添了登陆以及注册的功能,说来惭愧,虽然已经学习了数据库编程,可惜自己学艺不精并 ...

  8. 最新DNS汇集

    最近几日DNS大规模抽风,网络环境是一天比一天恶劣,于是收集了一些良心的DNS服务器地址,以备不时之需. 国内服务器: 1.OpenerDNS:42.120.21.30 2.114DNS:114.11 ...

  9. ubuntu 14.04 64位使用google官方android开发集成工具adt-64位无法使用adb

    在使用ubuntu64位(14.04)时,下载来一个adt-bundle-linux-x86_64-20131030.zip,但是运行时报错: Android: Gradle: Execution f ...

  10. 设计模式——装饰模式(Decorator Pattern)

    装饰模式:动态的给一个对象添加一些额外的职责,就增加功能来说,装饰模式比生成子类更为灵活. UML图: 模型类: Component类: package com.cnblog.clarck; /** ...