html源码用json序列化,FastJson反序列化漏洞利用的三个细节 - TemplatesImpl的利用链...

最新推荐文章于 2025-04-21 16:05:00 发布
最新推荐文章于 2025-04-21 16:05:00 发布
阅读量230 收藏
点赞数
文章标签: html源码用json序列化

0. 前言

记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题。

1. TemplatesImpl的利用链

关于 parse 和 parseObject

FastJson中的 parse() 和 parseObject()方法都可以用来将JSON字符串反序列化成Java对象,parseObject() 本质上也是调用 parse() 进行反序列化的。但是 parseObject() 会额外的将Java对象转为 JSONObject对象,即 JSON.toJSON()。所以进行反序列化时的细节区别在于,parse() 会识别并调用目标类的 setter 方法及某些特定条件的 getter 方法,而 parseObject() 由于多执行了 JSON.toJSON(obj),所以在处理过程中会调用反序列化目标类的所有 setter 和 getter 方法。parseObject() 的源代码如下:public static JSONObject parseObject(String text) {

Object obj = parse(text);

if (obj instanceof JSONObject) {

return (JSONObject) obj;

}

return (JSONObject) JSON.toJSON(obj);

}

举个简单的例子:public class FastJsonTest {

public String name;

public String age;

public FastJsonTest() throws IOException{

}

public void setName(String test) {

System.out.println("name setter called");

this.name = test;

}

public String getName() {

System.out.println("name getter called");

return this.name;

}

public String getAge(){

System.out.println("age getter called");

return this.age;

}

public static void main(String[] args) {

Object obj = JSON.parse("{\"@type\":\"fastjsontest.FastJsonTest\",\"name\":\"thisisname\", \"age\":\"thisisage\"}");

System.out.println(obj);

Object obj2 = JSON.parseObject("{\"@type\":\"fastjsontest.FastJsonTest\",\"name\":\"thisisname\", \"age\":\"thisisage\"}");

System.out.println(obj2);

}

}

上述代码运行后可以看到,执行parse() 时,只有 setName() 会被调用。执行parseObject() 时,setName()、getAge()、getName() 均会被调用。

为什么会触发getOutputProperties()

感觉上 parse() 进行反序列化创建Java类应该只会调用 setter 方法进行成员变量赋值才对,会什么会触发TemplatesImpl类中的 getOutputProperties() 方法呢?

另外 outputProperties 成员变量和 getOutputProperties() 明明差了一个``字符,是怎么被 FastJson 关联上的?

如上一小节所述,parse() 进行反序列化时其实会调用某些特定的 getter 方法进行字段解析,而 TemplatesImpl类中的 getOutputProperties() 方法恰好满足这一条件。

FastJson反序列化到Java类时主要逻辑如下:获取并保存目标Java类中的成员变量、setter、getter。

解析JSON字符串,对字段逐个处理,调用相应的setter、getter进行变量赋值。

我们先看第一步,这里由 JavaBeanInfo.build() 进行处理,FastJson会创建一个filedList数组,用来保存目标Java类的成员变量以及相应的setter或getter方法信息,供后续反序列化字段时调用。

filedList大致结构如下:[

{

name:"outputProperties",

method:{

clazz:{},

name:"getOutputProperties",

returnType:{},

...

}

}

]

FastJson并不是直接反射获取目标Java类的成员变量的,而是会对setter、getter、成员变量分别进行处理,智能提取出成员变量信息。逻辑如下:识别setter方法名,并根据setter方法名提取出成员变量名。如:识别出setAge()方法,FastJson会提取出age变量名并插入filedList数组。

通过clazz.getFields()获取成员变量。

识别getter方法名,并根据getter方法名提取出成员变量名。

可以看到在 JavaBeanInfo.build() 中,有一段代码会对getter方法进行判断,在某些特殊条件下,会从getter方法中提取出成员变量名并附加到filedList数组中。而TemplatesImpl类中的 getOutputProperties() 正好满足这个特定条件。getter方法的处理代码为:JavaBeanInfo.java

public static JavaBeanInfo build(Class> clazz, Type type, PropertyNamingStrategy propertyNamingStrategy) {

...

for (Method method : clazz.getMethods()) { // getter methods

String methodName = method.getName();

if (methodName.length() < 4) {

continue;

}

if (Modifier.isStatic(method.getModifiers())) {

continue;

}

if (methodName.startsWith("get") && Character.isUpperCase(methodName.charAt(3))) {

if (method.getParameterTypes().length != 0) {

continue;

}

// 关键条件

if (Collection.class.isAssignableFrom(method.getReturnType()) //

|| Map.class.isAssignableFrom(method.getReturnType()) //

|| AtomicBoolean.class == method.getReturnType() //

|| AtomicInteger.class == method.getReturnType() //

|| AtomicLong.class == method.getReturnType() //

) {

String propertyName;

JSONField annotation = method.getAnnotation(JSONField.class);

if (annotation != null && annotation.deserialize()) {

continue;

}

if (annotation != null && annotation.name().length() > 0) {

propertyName = annotation.name();

} else {

propertyName = Character.toLowerCase(methodName.charAt(3)) + methodName.substring(4);

}

FieldInfo fieldInfo = getField(fieldList, propertyName);

if (fieldInfo != null) {

continue;

}

if (propertyNamingStrategy != null) {

propertyName = propertyNamingStrategy.translate(propertyName);

}

add(fieldList, new FieldInfo(propertyName, method, null, clazz, type, 0, 0, 0, annotation, null, null));

}

}

}

...

}

接下来,FastJson会语义分析JSON字符串。根据字段key,调用filedList数组中存储的相应方法进行变量初始化赋值。具体逻辑在 parseField() 中实现:JavaBeanDeserializer

public boolean parseField(DefaultJSONParser parser, String key, Object object, Type objectType,

Map fieldValues) {

JSONLexer lexer = parser.lexer; // xxx

FieldDeserializer fieldDeserializer = smartMatch(key);

...

return true;

}

这里调用了一个神奇的 smartMatch() 方法,smartMatch()时会替换掉字段key中的_,从而 _outputProperties 和 getOutputProperties() 可以成功关联上。JavaBeanDeserializer

public FieldDeserializer smartMatch(String key) {

if (fieldDeserializer == null) {

boolean snakeOrkebab = false;

String key2 = null;

for (int i = 0; i < key.length(); ++i) {

char ch = key.charAt(i);

if (ch == '_') {

snakeOrkebab = true;

key2 = key.replaceAll("_", "");

break;

} else if (ch == '-') {

snakeOrkebab = true;

key2 = key.replaceAll("-", "");

break;

}

}

if (snakeOrkebab) {

fieldDeserializer = getFieldDeserializer(key2);

if (fieldDeserializer == null) {

for (FieldDeserializer fieldDeser : sortedFieldDeserializers) {

if (fieldDeser.fieldInfo.name.equalsIgnoreCase(key2)) {

fieldDeserializer = fieldDeser;

break;

}

}

}

}

}

为什么需要对_bytecodes进行Base64编码

细心的你可以发现,PoC中的 _bytecodes 字段是经过Base64编码的。为什么要这么做呢? 分析FastJson对JSON字符串的解析过程,原来FastJson提取byte[]数组字段值时会进行Base64解码,所以我们构造payload时需要对 _bytecodes 进行Base64处理。FastJson的处理代码如下:ObjectArrayCodec

public T deserialze(DefaultJSONParser parser, Type type, Object fieldName) {

final JSONLexer lexer = parser.lexer;

// ......省略部分代码

if (lexer.token() == JSONToken.LITERAL_STRING) {

byte[] bytes = lexer.bytesValue(); // ... 在这里解析byte数组值

lexer.nextToken(JSONToken.COMMA);

return (T) bytes;

}

// 接着调用JSONScanner.bytesValue()

JSONScanner

public byte[] bytesValue() {

return IOUtils.decodeBase64(text, np + 1, sp);

}

13709382269
关注
fastjson1.2.24TemplatesImpl利用源码分析
weixin_45682070的博客
12-28 865
构造恶意类 package org.example.fastjson.TemplatesImpl; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.Feature; import com.alibaba.fastjson.parser.ParserConfig; public class Test { public static void main(String[] args) { Parse
fastjson反序列化TemplatesImpl
weixin_30883311的博客
12-28 462
环境参考第一个接,直接用IDEA打开 编译EvilObject.java成EvilObject.class 先看poc,其中NASTY_CLASS为TemplatesImpl类,evilCode是EvilObject.class base64编码: final String evilClassPath = "E:\\Struts2-Vulenv-master\\PoCs-fast...
lexer(词法分析器)与 parser(语法分析器)
最新发布
gzyes
04-21 710
Lexer是编译器的初始处理模块,主要任务是将输入的原始字符流(如源代码)拆解为具有特定意义的词法单元(token)。例如,对于代码片段int x = 5;,Lexer会识别出关键字int、标识符x、运算符、数字5和分隔符;,每个元素被标记为独立的Token并附带类型信息。这种转换使得后续的语法分析器能更高效地处理代码结构。FastJSON中的具体实现词法分析器(JSONLexer)源码类核心方法public int token() { ... } // 当前Token类型。
FastJson反序列化漏洞利用三个细节 - TemplatesImpl利用
weixin_33853794的博客
08-31 718
0. 前言 记录在FastJson反序列化RCE漏洞分析和利用时的一些细节问题。 1. TemplatesImpl利用 关于 parse 和 parseObject FastJson中的 parse() 和 parseObject()方法都可以用来将JSON字符串反序列化成Java对象,parseObject() 本质上也是调用 parse() 进行反序列化的。但是 parseObje...
php 把html 序列化 xml,php json与xml序列化/反序列化
weixin_42298382的博客
03-10 131
在web开发中对象的序列化反序列化经常使用,比较主流的有json格式与xml格式的序列化反序列化,今天想写个jsop的小demo,结果发现不会使用php序列化,查了一下资料,做个笔记简单数组json格式序列化/反序列化php提供了json_encode和json_decode函数对对象进行json格式序列化/反序列化操作$data=array('Name'=>'Byron','Age'=...
templateslmpl利用
qq_62046696的博客
03-13 554
cc3Jdk版本:调用AnnoctionInvocationHandler中的版本需要在,
java代码审计之fastjson反序列化漏洞
CheatMyself的博客
05-30 1145
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。该产品主要提供了两个接口,JSON.toJSONString和JSON.parseObject/JSON.parse分别实现序列化反序列化
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6614
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
Fastjson 反序列化漏洞(CVE-2017-18349)
qq_68163788的博客
06-19 1128
Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
Fastjson反序列化漏洞原理分析及复现
Armandhe的博客
10-26 3135
Fastjson反序列化漏洞原理分析及复现
Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决(1)
m0_60575487的博客
04-07 833
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
Java反序列化5-Fastjson 1.2.22-1.2.24 TemplatesImpl利用分析
weixin_43263451的博客
07-12 1167
Fastjson是alibaba开源的一个json库,能够对json字符串进行序列化反序列化操作。其在1.2.22-1.2.24版本被爆出来存在反序列化漏洞。该反序列化漏洞一共有两条子这次主要分析的是TemplateImpl利用。这条子还是利用了TemplateImpl类,将avasisit生成的恶意类赋值给_bytecodes属性,当反序列化TemplateImpl对象时会调用其gettter和setter方法,在调用这些方法的时候调用了newTransformer从而进入TemplateImpl
fastjson反序列化TemplatesImpl
qq_40710190的博客
07-07 889
FastJson的TemplateImpl利用
Fastjson反序列化漏洞TemplateImpl利用条跟踪与分析
Armandhe的博客
11-04 671
Fastjson反序列化漏洞TemplateImpl利用条跟踪与分析
[Java反序列化]Java-CommonsCollections2TemplatesImpl利用分析
Y4tacker的博客
07-28 558
文章目录Java-CommonsCollections2TemplatesImpl利用分析完整代码 Java-CommonsCollections2TemplatesImpl利用分析 我们知道我们之前可以利用TemplatesImpl 构造出⽆Transformer数组的利⽤,那这里是否可以实现呢,答案是是的,在这里的queue 现在开始正文,还是稍微详细说一下利用过程吧 现在我们的目标就是通过PriorityQueue来调用TemplatesImpl的newTransformer来加载字节码 T
[Java安全]Fastjson 1.2.22-1.2.24 TemplatesImpl利用分析
cosmoslin的博客
04-18 780
简介 对于Fastjson 1.2.22-1.2.24 版本的反序列化漏洞利用,目前已知的主要有以下的利用: 基于TemplateImpl; 基于JNDI(又分为基于Bean Property类型和Field类型); 这里我使用的环境是JDK7u51 fastjson-1.2.24.jar,commons-codec-1.12.jar,commons-io-2.5.jar,unboundid-ldapsdk-4.0.9.jar 反序列化TemplatesImpl类+类加载触发 先看一下POC: Te
JSONP漏洞分析及利用方式
ak.Gh0st的博客
11-02 1716
jSONP 的最基本的原理是:动态添加一个< script >标签,而 script 标签的 src 属性是没有跨域的限制的。由于同源策略的限制,XmlHttpRequest 只允许请求当前源(域名、协议、端口都相同)的资源,如果要进行跨域请求, 我们可以通过使用 html 的 script 标记来进行跨域请求,并在响应中返回要执行的 script 代码,其中可以直接使用 JSON 传递 javascript 对象。
JSON劫持漏洞(详细讲解利用JSON从而进行数据劫持的漏洞攻防策略)
热门推荐
一只苟延残喘的卑微蝼蚁
05-24 2万+
英文原文:JSON Hijacking英汉对照:JSON Hijacking 翻译对照原文解析:JSON劫持漏洞分析和攻防演练声明(阅读前必读!!!):转载自这篇文章本人是一个英语渣,英语四级都没过。翻译此文存粹用于英语学习,而且大部分还是用翻译软件翻译的。请谨慎阅读此译文,注意不要被译文雷到。另外这是一篇2009年的老文章了,里面有部分知识可能已经过时了,不过文章中关于JSON劫持的知识大部分还...
fastjson 1.22-1.24 TemplatesImpl反序列化漏洞分析
Vicl1fe的博客
07-09 816
前言 看了别人的文章,我也打算先分析TemplatesImpl利用,关于fastjson的使用可以参考:fastjson 使用 环境 jdk 1.8_102 <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency&
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值