fastjson反序列化漏洞绕过方式有哪些?

阳光 2021-01-11 13:28:00 java常见问答 8102

序列化其实就是将对象转换为流,利于储存和传输的格式,反序列化就是跟序列化反过来,可以fastjson反序列化会有漏洞,大家要怎么去绕过这个漏洞呢?下面我们就给大家讲解一下。

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

漏洞防御:

1、类的白名单校验机制:

实际上原理很简单,就是对所有传入的反序列化对象,在反序列化过程开始前,对类型名称做一个检查,不符合白名单的类不进行反序列化操作。很显然,这个白名单肯定是不存在Runtime的。

2、禁止JVM执行外部命令Runtime.exec。这个措施可以通过扩展 SecurityManager 可以实现。

反序列化漏洞怎么挖掘?

1、确定反序列化输入点

首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:

源码审计:寻找可以利用的“靶点”,即确定调用反序列化函数readObject的调用地点。

对该应用进行网络行为抓包,寻找序列化数据,如wireshark,tcpdump等。

2、黑盒流量分析(可能面试)

在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:

(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;

(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;

以上意味着存在Java反序列化,可尝试构造payload进行攻击。

黑盒java的RMI

RMI是java的一种远程对象(类)调用的服务端,默认于1099端口,基予socket通信,该通信实现远程调用完全基于序列化以及反序列化。

白盒代码审计

(1)观察实现了Serializable接口的类是否存在问题。

(2)观察重写了readObject方法的函数逻辑是否存在问题。

再考察应用的Class Path中是否包含Apache Commons Collections库。

生成反序列化的payload。

提交我们的payload数据。

其实只要大家知道fastjson反序列化的原理,并且知道它的防御方式,就可以绕过它了。最后大家如果想要了解更多json相关知识,敬请关注奇Q工具网。

推荐阅读:

qtjson顺序不对如何解决?qJson的具体用法是什么?

java编译器什么好?java编译器工作原理是什么?

json格式怎么打开?json格式打不开是什么原因?