Fastjson反序列化漏洞复现分析

最新推荐文章于 2025-04-17 15:32:06 发布
最新推荐文章于 2025-04-17 15:32:06 发布
阅读量5.8k 收藏 1
点赞数
分类专栏: 代码审计 文章标签: 前端 php 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/include_voidmain/article/details/123734626
版权
本文深入分析了Fastjson的反序列化过程,详细讲解了从`parseObject`方法开始的解析流程,包括类加载、setter/getter绑定及属性值恢复等步骤。在漏洞版本分析部分,列举了1.2.24至1.2.68版本的漏洞利用细节和修复措施,讨论了如何通过缓存机制绕过安全检查。此外,还分享了一些有趣的payload,如$ref构造和toString触发。最后给出了相关参考资料链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01 反序列化过程

fastjson将字符串转换为对象的方法主要有parse和parseObject

其中parseObject也会调用parse来解析json,下面来分析下反序列化过程

首先写一个测试的javabean

public class TestBean {
public String isMessage;
public String message;
public int id;
public String getMessage() {
System.out.println("getMessage called");
return message;
}
public void setMessage(String message) {
System.out.println("setMessage called");
this.message = message;
}
public TestBean() {
}
public TestBean(String message, int id) {
this.message = message;
this.id = id;
}
public int getId() {
System.out.println("getId called");
return id;
}
public void setId(int id) {
System.out.println("setId called");
this.id = id;
}
@Override
public String toString() {
return "TestBean{" +
"message='" + message + '\'' +
", id=" + id +
'}';
}
}

反序列化测试代码

import com.alibaba.fastjson.JSON;
public class Derjson {
public static void main(String[] args) {
String text = "{\"@type\":\"TestBean\",\"message\":\"hello\",\"id\":888}";
Object obj = JSON.parseObject(text);
  }
}

下断点调试,首先会进入

com.alibaba.fastjson.JSON#parseObject(java.lang.String)

可以看到该方法中调用了parse方法来解析json字符串,跟进该方法

图片

该方法中获取了一个json解析器,一路跟进到

com.alibaba.fastjson.parser.DefaultJSONParser#DefaultJSONParser(java.lang.Object, com.alibaba.fastjson.parser.JSONLexer, com.alibaba.fastjson.parser.ParserConfig)

会在该方法中盘断json字符串是否以{ 或[开头,然后分配不同的解析流程,以其他字符开头的后面的解析过程中会报错
图片
然后回到parse来,接着会进行解析json串的流程
图片

首先是创建一个JSONObject对象,执行

com.alibaba.fastjson.parser.DefaultJSONParser#parseObject(java.util.Map, java.lang.Object)方法

该方法主要是对json相应的结构进行拆解,获取相应的值,进行对应的处理

比如在匹配到@type 键值时,会对其对应的值进行类加载操作

图片
然后获取对应类的反序列化器
图片
跟进getDeserializer,在识别到类是一个普通的javabean时,会调用

com.alibaba.fastjson.parser.ParserConfig#createJavaBeanDeserializer

创建反序列化器,在该方法中又会使用:

com.alibaba.fastjson.util.JavaBeanInfo#build来绑定对应属性的setter

getter处理方法,对于setter方法的规定代码如下:

图片
图片

要求setter方法长度大于4,不是静态方法,返回类型是void或所在类的类型,参数个数是1,第四个字母需要大写

然后会把set去掉,第四位字母小写后作为属性值来和bean中的属性列表来对比,当属性成功被匹配到时,将setter方法与该属性绑定

当没有匹配到时,会将属性名首位大写然后在前面加上is来组成一个新的属性,然后继续将其与bean中的属性列表对比,成功匹配到后将is开头的属性值与setter绑定

图片
对于getter方法的规定如下
图片

要求getter方法大于4,不能是static方法,方法以get开头且第四位大写,方法不能有参数,返回值继承

Collection/Map/AtomicBoolean/AtomicInteger/AtomicLong ;

在绑定完方法后,就开始进行反序列化操作,利用绑定的方法恢复属性的值

值得注意的是,在反序列化的过程中,fastjson如果对json的字段找不到相应的方法时,会尝试对字段进行处理,反序列化方法

com.alibaba.fastjson.parser.d
最低0.47元/天 解锁文章
网络安全之反序列化漏洞分析
kali_Ma的博客
12-08 1831
FastJsonalibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象分别通过和来实现序列化和反序列化
Fastjson反序列化漏洞原理与漏洞复现(基于vulhub靶场)
人若无名,便可专心练剑
03-27 5556
Fastjson反序列化漏洞也是一个知名度比较高的Java反序列化漏洞,他是阿里巴巴的开源库,下面我将主要带大家了解Fastjson反序列化漏洞的原理以及相关知识点的内容,然后带师傅们去利用rmi服务去复现这个Fastjson反序列化漏洞!!!
漏洞复现Fastjson反序列化
网络安全知识分享
12-31 6083
Fastjson反序列化一、简介二、序列化与反序列化三、Fastjson漏洞介绍1、漏洞原理2、RMI3、JNDI4、JEP290四、编写的简单测试的环境五、漏洞版本1、fastjson<=1.2.241.1、TemplatesImpl 利用链分析1.2、JNDI利用链分析1.3、JNDI利用1.4、官方进行的修复2、fastjson<=1.2.413、fastjson<=1.2.424、fastjson<=1.2.455、fastjson<=1.2.476、1.2.48&lt
Fastjson反序列化
最新发布
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
04-17 1136
JSON是一种轻量级的数据交换格式.它使用键值对(key-value)的结构表示数据,易于人阅读和编写,也易于机器解析和生成。虽然起源于 JavaScript,但现在已经成为编程语言之间通信的通用格式,比如在前后端之间传输数据、配置文件、接口请求等场景中广泛使用。
工作爬坑系列之fastjson命名导致无法序列化
weixin_36352085的博客
08-11 341
fastjson版本:1.2.7 问题场景 这个问题很奇怪,上线当天一个简单查询接口正常返回了数据,但有两个字段没有返回.本地环境跟测试环境也没复现这个问题.生产环境一台服务器无法复现,剩下的服务器都可以稳定复现. 探究原因 看来看去没啥问题,这两个字段跟别人不一样的地方就只有命名了.本着死马当活马医的心态尝试修改命名,果然… 以下是我原本的命名 private String yMn; //生成的get/set public String getyMn(){ return yMn; } public
FastJson不能序列化实体内部属性的原因
巴休特的风之剑
07-29 1265
这可能是因为FastJson和lombok的坑。 FastJson不能反序列化lombok注解的实体,因为FastJson的原理是使用项目内部的get、set方法。 解决思路:用Gson序列化,或者弃用lombok,手写get、set方法。 个人建议,在一个项目的确立时,是否使用lombok,一定要整个项目组的开发人员统一定下。 不是所有人都喜欢lombok这种东西。 ...
fastjson关于is开头的字段名的序列化问题
大白能的博客
03-07 8187
前言 任何时候不推荐java的字段名使用is开头 实例 定义一个测试的bean package com.ahut.common.entity; public class TestBean { /** * 非boolean类型, is开头字段, get方法使用getIsXXX */ private String isFlag; /** * 非...
fastjson反序列化漏洞复现
余十步的博客
06-05 468
靶机IP:192.168.253.134攻击机IP:192.168.142.44。
阿里巴巴开源的FastJson 1反序列化漏洞复现流程
10-04
复现FastJson 1反序列化漏洞的流程通常涉及以下几个步骤: 1. 准备环境:首先,需要准备一个能够运行Java的环境,同时需要有FastJson 1.x版本的jar包。 2. 创建恶意JSON数据:攻击者需要构造恶意的JSON数据。这些...
Fastjson反序列化漏洞原理及漏洞复现
weixin_46263525的博客
04-04 1964
Fastjson反序列化漏洞原理及反弹shell利用
Fastjson反序列化漏洞部署复现1.2.24版本反序列RCE笔记
weixin_51339377的博客
11-09 1054
但是mvn clean package -DskipTests执行需要一个环境变量JAVA_HOME,且对应的地址是jdk文件夹,不带bin。之后rmi服务器从kali的4444端口去取恶意类 返回给rmi服务器 rmi服务器再返回给8090的fastjson执行。总结:所有的java的jdk jre也好 全都直接在path中设置绝对路径。最终通过刚才的工具 启动一个rmi服务器 加载刚才设置的恶意类。设置ip地址为可以访问到的 通过http进行访问测试。会先通过rmi请求到win10的rmi服务器。
Fastjson关于is开头序列化问题
Nortyr的博客
08-01 3025
问题描述 public class Demo { private Boolean isHot; private Boolean isQuick; public Boolean getHot() { return isHot; } public void setHot(Boolean hot) { isHot = hot; } public Boolean getQuick() { return is
fastjson如何指定字段不序列化
热门推荐
johnhuster的专栏
07-28 3万+
fastjson如何指定字段不序列化
Alibaba fastjson 序列化与反序列化
周洲 (Julie)
12-28 8473
fastjson在官网的定义号称最小最快 多态的json序列化工具。fastjson采用独创的算法,将parse的速度提升到极致,超过所有json库,包括曾经号称最快的jackson。并且还超越了google的二进制协议protocol buf。JSON这个类是fastjson API的入口,主要的功能都通过这个类提供。下面是这个类的重要几个方法介绍:序列化APIpackage com.aliba
fastjson>=1.2.47反序列化漏洞复现及实际利用
weixin_42486411的博客
05-07 1220
嗯,这一定是傻子都能看得懂的文章! 1.环境搭建 用的是vulhub的环境,里面有各种各样的漏洞环境,简单看看说明就知道怎么操作了。 vulhub下载地址:https://github.com/vulhub/vulhub 在虚拟机上搭建好后看具体的说明文件,是访问8090端口: ok确认环境已搭建完毕! 2.编译恶意文件 vulhub里面的说明文件就给出了恶意文件的内容: 将这段代码复制出来到文...
Fastjson反序列化随机性失败
淘系技术
06-24 916
本文主要讲述了一个具有"随机性"的反序列化错误!前言Fastjson作为一款高性能的JSON序列化框架,使用场景众多,不过也存在一些潜在的bug和不足。本文主要讲述了一个具有"随机性"的反序列化错误!问题代码为了清晰地描述整个报错的来龙去脉,将相关代码贴出来,同时也为了可以本地执行,看一下实际效果。▐ StewardTipItempackage test; impo...
Javaweb安全——Fastjson反序列化利用
weixin_43610673的博客
10-13 4883
JSON.parseObject 的底层调用的还是 JSON.parse 方法,只是在 JSON.parse 的基础上做了一个封装。在JSON序列化时开启 SerializerFeature.WriteClassName 选项,序列化出来的结果会在开头加一个 @type 字段,值为进行序列化的类名。反序列化时带有@type 字段的序列化数据会得到对应类型的实例化对象。漏洞的还是Fastjson的功能,此功能可以反序列化的时候人为指定类,然后在利用指定的反序列化器过程中,如果满足条件则会去反射调用方法,以串联
java:利用fastjson判断一个类型(java.lang.reflect.Type)是否是一个javabean
10km的专栏
09-10 9200
fastjson中JSON.toJSON(Object javaObject)方法将一个java对象被序列化成json对象时,返回的对象类型有三种可能:JSONObject,JSONArray,原始类型(简单类型)。 最近在使用fastjson进行对java对象序列化和反序列化时,遇到一个问题: 需要判断一个类型(java.lang.reflect.Type)是否为一个java bean(这里所
json转换报错: com.alibaba.fastjson.JSONException: not match : - =, info : pos 14
Tong__wei的博客
07-27 2787
错误日志: com.alibaba.fastjson.JSONException: not match : - =, info : pos 14, json : [{alarmContent=, alarmTime=, deviceName=, id=, readTime=, userName=, userPicture=},{alarmContent=, alarmTime=, deviceName=, id=, readTime=, userName=, userPicture=}] at com.a
fastjson反序列化漏洞复现过程
04-19
根据提供的引用内容,fastjson反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞在目标系统上执行恶意代码。下面是fastjson反序列化漏洞复现过程[^1][^2]: 1. 判断是否使用Fastjson以及Fastjson版本:首先需要确定目标系统是否使用了Fastjson,并且确定Fastjson的版本号。可以通过查看项目的依赖文件或者代码中的导入语句来确定。 2. 漏洞复现:根据Fastjson的版本号选择相应的漏洞复现方法。 - Fastjson<1.2.24远程代码执行(CNVD-2017-02833):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中插入恶意的Java代码,并通过反序列化操作执行该代码。 - Fastjson<=1.2.47远程代码执行漏洞(CNVD-2019-22238):该漏洞可以通过构造恶意的JSON字符串来触发远程代码执行。攻击者可以在JSON字符串中使用特殊的反射调用方式来执行恶意代码。 3. 防范措施:为了防止fastjson反序列化漏洞的利用,可以采取以下措施: - 及时升级Fastjson版本:Fastjson团队会及时修复漏洞并发布新版本,及时升级到最新版本可以避免被已知漏洞攻击。 - 输入验证和过滤:在接收用户输入并进行反序列化操作之前,对输入进行严格的验证和过滤,确保输入的数据符合预期的格式和内容。 - 使用安全的JSON库:考虑使用其他安全性更高的JSON库,如Jackson或Gson,来替代Fastjson
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值