fastjson反序列化

fastjson最经典的部分是自动触发getter来getProperties加载字节码,如何触发getter可以通过JSON.parse触发,也可以通过toJSONString触发,很有意思的是JSON这个类的tostring就是toJSONString

基础知识

FastJson 是一个由阿里巴巴研发的java库,可以把java对象转换为JSON格式,也可以把JSON字符串转换为对象

环境搭建

导入依赖

1
2
3
4
5
6
7
<dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
        </dependency>
    </dependencies>

FastJson的简单使用

新建一个简单的pojo类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
package com.liang.pojo;

public class User {
    private String name;
    private int id;

    public User(){
        System.out.println("无参构造");
    }

    public User(String name, int id) {
        System.out.println("有参构造");
        this.name = name;
        this.id = id;
    }

    @Override
    public String toString() {
        return "User{" +
                "name='" + name + '\'' +
                ", id=" + id +
                '}';
    }

    public String getName() {
        System.out.print("getName");
        return name;
    }

    public void setName(String name) {
        System.out.println("setName");
        this.name = name;
    }

    public int getId() {
        System.out.println("getId");
        return id;
    }

    public void setId(int id) {
        System.out.println("setId");
        this.id = id;
    }
}

关于Fastjson的使用,使用JSON的toJSONString方法 可以将对象转换为字符串

1
2
3
4
5
6
7
8
public class FastjsonTest {
    public static void main(String[] args) {
        User user = new User("lihua",3);
        String json = JSON.toJSONString(user);
        System.out.println(json);
    }

}

但是这里转化的字符串只有属性的值,无法区分是哪个类进行了序列化转化的字符串,这里就有了在JSON.toJSONString的第二个参数SerializerFeature.WriteClassName写下这个类的名字

@type关键字标识的是这个字符串是由某个类序列化而来。

传入SerializerFeature.WriteClassName可以使得Fastjson支持自省,开启自省后序列化成JSON的数据就会多一个@type,这个是代表对象类型的JSON文本。

反序列化漏洞

@type 指定类
使用JSON.parse方法反序列化会调用此类的set方法
使用JSON.parseObject方法反序列化会调用此类get和set方法
可以写一个恶意类,然后通过这一特性实现命令执行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
package com.liang.pojo;

import java.io.IOException;

public class User {
    private String name;
    private int id;

    public User(){
        System.out.println("无参构造");
    }

    public User(String name, int id) {
        System.out.println("有参构造");
        this.name = name;
        this.id = id;
    }

    @Override
    public String toString() {
        return "User{" +
                "name='" + name + '\'' +
                ", id=" + id +
                '}';
    }

    public String getName() {
        System.out.print("getName");
        return name;
    }

    public void setName(String name) {
        System.out.println("setName");
        this.name = name;
    }

    public int getId()  {
        System.out.println("getId");
        return id;

    }

    public void setId(int id) throws IOException {
        System.out.println("setId");
        this.id = id;
        Runtime.getRuntime().exec("calc.exe");
    }
}
public class FastjsonTest {
    public static void main(String[] args) {
        String json = "{\"@type\":\"com.liang.pojo.User\",\"id\":3,\"name\":\"lihua\"}";
        System.out.println(JSON.parse(json));

FastJson反序列化和原生反序列化利用不同的点:

  • FastJson不需要实现Serializable

  • 不需要变量不是transient/可控变量:

    1. 变量有对应的setter
    2. 或是public/static
    3. 或满足条件的getter

  • 反序列化入口点不是readObject,而是setter或者是getter

一般的利用方式

一个是通过JNDI注入进行出网攻击,另一个是通过defineClass的动态类加载,来进行不出网攻击

利用方式一:

我们要找fastjson中的原生反序列化,发现 JSONObjectJSONArray类 有序列化接口,可并没有readobject方法,且 extends对应的JSON类也没有readObect方法 ,所以只能找谁的readobject触发了这两个类,或者他们继承的JSON

这里我们就要引入toString方法,我们可以发现在Json类中存在toString方法能够触发toJSONString方法的调用( 在toJSONString中调用了serializer.write方法 )

例题

2022西湖论剑初赛 easyapi

//api_text绕过,?data=…