Fastjson1.2.24反序列化漏洞原理代码分析
2022-8-19 10:16:50 Author: 鸿鸟安全(查看原文) 阅读量:13 收藏

 Fastjson1.2.24反序列化漏洞原理代码分析

  前言

 FastJson漏洞代码分析,为了对漏洞理解更深入,也是为以后挖掘通用漏洞作铺垫,提升代码审计能力,积累更多的知识。

一、FastJson

      FastJson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库,对标Google的Gson。

优点:

速度快

使用广泛

使用简单‍

二、FastJson使用

1.maven工程直接引用jar

<dependency>    <groupId>com.alibaba</groupId>    <artifactId>fastjson</artifactId>    <version>版本根据自己需要</version></dependency>

三、漏洞环境搭建

1.Idea新建maven工程的文件结构

2.pom.xml引入fastjson1.2.24jar包

<?xml version="1.0" encoding="UTF-8"?><project xmlns="http://maven.apache.org/POM/4.0.0"         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">    <modelVersion>4.0.0</modelVersion>
    <groupId>org.fastjson</groupId>    <artifactId>fastajson</artifactId>    <version>1.0-SNAPSHOT</version>
    <dependencies>        <dependency>            <groupId>com.alibaba</groupId>            <artifactId>fastjson</artifactId>            <version>1.2.24</version>        </dependency>    </dependencies>
    <properties>        <maven.compiler.source>8</maven.compiler.source>        <maven.compiler.target>8</maven.compiler.target>    </properties>
</project>

3.新建Person类

先在Java目录下新建包com.trancers.test,然后在包中新建Person

package com.trancers.test;
import java.io.IOException;
public class Person {    private String name;    private Integer age;

    public String getName() {        System.out.println("call getname");        return name;    }
    public void setName(String name) throws IOException {        System.out.println("call setname");        Runtime.getRuntime().exec(name);        this.name = name;    }
    public Integer getAge() {        System.out.println("call getage");        return age;    }
    public void setAge(Integer age) {        System.out.println("call setage");        this.age = age;    }}

3.新建主函数TestMain

  1. 构造简单的payload,下面看一下调用过程

package com.trancers.test;import com.alibaba.fastjson.JSONObject;

public class TestMain {    public static void main(String[] args) {        String str = "{\"@type\":\"com.trancers.test.Person\",\"age\":20,\"name\":\"calc\"}";
        Object obj1 = JSONObject.parse(str);        System.out.println(obj1);    }}

  1. 首先进入JONObject类调用parse方法

  1. 调用静态parse同名方法传入testDEFAULT_PARSER_FEATURE两个参数

  1. DEFAULT_PARSER_FEATURE在加载JSON类同时加载静态代码块计算出数值989

  1. 创建一个DefaultJSONParser对象将JSONToken.LBRACE赋值给((JSONLexerBase) lexer).token

  1. 看一下parser属性包含哪些,然后调用parse方法

  1. 方法里做了一个判断之前在上个方法中已经赋值lexer.token所以会走到LBRACE

  1. 创建了一个hashmap对象

  1. 调用parseObject方法

  1. 做词法分析取出key值,及key对应value值

  1. 因为@type走进了这个判断里,执行了类反射,@type值又是包的路径所以根据com.trancers.test.Person直接去加载类

  1. 然后进行序列化操作,取出类的所有属性,以及传入的text进行匹配,类的属性名与key值相同进行赋值。

四、总结

         简单分析一下fastjson反序列化漏洞的成因、调用过程和触发点。

本文章仅供学习交流,不得用于非法用途!


文章来源: http://mp.weixin.qq.com/s?__biz=MzUwOTc1OTQyMQ==&mid=2247487687&idx=1&sn=cb0bb285361214516bd5250d174f82be&chksm=f90c0a15ce7b830363a99dd4188a2bddf4ab0f3e113ade5992a91e6dc2a1bc65f0243036c9da#rd
如有侵权请联系:admin#unsafe.sh