1.fastjson 1.2.24源码分析以及漏洞复现
2.Unity JSON编码解码 之 LitJson 深度剖析
3.fastjson的源码toJSONString()对于时间类的特殊处理源码分析——《DEEPNOVA开发者社区》
fastjson 1.2.24源码分析以及漏洞复现
反序列化,这个过程将字节序列恢复为Java对象。源码例如在使用Python做自动化测试时,源码通过字符串名字调用相同名字的源码方法。Fastjson的源码功能允许通过字符串引用如`@type":"com.sun.rowset.JdbcRowSetImpl`来执行内部方法。由此,源码相亲网站html源码我们能利用Fastjson提供的源码便利,通过调用对应的源码函数来验证漏洞。
在渗透测试中,源码漏洞的源码验证通常需要满足几个条件:判断指纹和指纹回显,Fastjson的源码特性使得这一步变得简单。然而,源码在利用过程中,源码要考虑到Fastjson本身的源码限制、JDK的源码限制以及可能的安全配置限制。因此,POC验证方案需考虑这些限制的ApiIgnore源码版本和配置。
Fastjson通过JSON抽象类实现JSONAware接口,并提供两个常用方法:`toJSONString`用于对象转换为JsonString,`parseObject`用于将JSON字符串转换为对象。这次的漏洞主要与反序列化相关。
反序列化的执行发生在`DefaultJSONParser.java`类中。关键代码中,固定键`@type`对应反序列化类的全路径,其中`typeName`为传入类的全路径。在Fastjson 1.2.版本中,`loadClass`方法未进行任何过滤,允许传入任何JVM加载的类,并执行`setKey`方法,其中Key为可变参数。
要利用这个反序列化漏洞,需要满足以下条件:JVM加载的类、有非静态set方法和传入一个参数。glaux源码使用RPC远程执行代码的思路实现POC,此处使用了`com.sun.rowset.JdbcRowSetImpl`实现。
JNDI全称为Java Naming and Directory Interface,主要提供应用程序资源命名与目录服务。其底层实现之一是RMI(Remote Method Invocation),用于Java环境的远程方法调用。在`com.sun.rowset.JdbcRowSetImpl`类中,关注点在于`getDataSourceName()`和`setAutoCommit()`方法。`getDataSourceName()`用于传值,`setAutoCommit()`用于确认调用set方法。
实现过程包括引用`com.sun.rowset.JdbcRowSetImpl`类、设置`dataSourceName`传值以及通过`autoCommit`属性触发执行方法。完成方法确认后,使用`marshalsec`项目启动RMI服务并加载远程类。
POC的实现步骤如下:首先确认目标是否使用Fastjson且存在漏洞;利用Fastjson的反序列化功能传输引用类和执行方法;使用`com.sun.rowset.JdbcRowSetImpl`执行验证POC的脚本,并观察回显结果;最后,调查 源码完成漏洞利用。
具体操作包括搭建环境,如使用CentOS虚拟机作为RMI服务器和远程调用服务,KALI机器作为靶机和抓包测试。进行指纹确认、安装maven、构建RMI服务器和客户端、调用测试文件,并观察DNS日志以验证漏洞成功利用。通过DNS日志确认漏洞利用成功后,可以进一步尝试反弹shell,实现远程控制。
综上所述,Fastjson的反序列化漏洞是一个可以被利用的安全问题,通过合理的利用,可以实现远程代码执行。easyweb源码了解和研究这类漏洞有助于增强对Fastjson以及类似技术的防御能力。
Unity JSON编码解码 之 LitJson 深度剖析
JSON,即JavaScript Object Notation,是一种轻量级的数据交换格式,它基于ECMAScript标准,以文本形式表示数据,易于人读和机器解析,提高网络传输效率。基本数据类型包括Boolean、Double、Float、Int、Long和String,而Object和Array则作为容器,可嵌套其他类型的数据。
编码(序列化)过程是将编程语言中的数据对象转换为JSON文本,解码(反序列化)则是解析JSON文本,识别数据类型,如识别花括号{ }表示对象,方括号[]表示数组。Unity C#中, LitJson库常用于处理JSON的编码和解码。
在Unity项目中使用LitJson,步骤简单:首先,将库下载并添加到项目中;然后,定义一个测试数据对象,如GameItem,进行编码和解码操作。编码时,使用JsonMapper的ToJson方法将对象转换为Json String;解码时,通过JsonMapper的ToObject方法将JsonText.txt中的文本解析为JsonData对象,进而访问其中的数据。
LitJson的核心源码分析,JsonData是其核心数据结构,它以JsonType枚举表示数据类型,存储相应类型的数据。Object和Array分别用Dictionary和List作为容器,通过重载[]操作符和类型强转操作符,实现了灵活的数据访问和转换。JsonWrapper则负责解析JSON字符串,生成对应的Json对象。
fastjson的toJSONString()对于时间类的特殊处理源码分析——《DEEPNOVA开发者社区》
作者:贺子江
背景介绍
本文是在项目迭代过程中,针对fastjson库在时间类型处理上发现的一系列问题而进行的源码分析。通过案例分析和深入代码探索,揭示了fastjson对于时间类的特殊处理机制。
案例分析
在实际项目使用中,我们遇到了一个出乎意料的情况:对于Timestamp类型的toJSONString()方法调用,并没有按照预期输出Timestamp对象的toString信息,而是直接输出了时间戳的long值。经过复现问题并单独测试,我们明确了预期结果与实际输出之间的差异。
深入debug与代码分析
面对这一情况,首先产生了fastjson可能存在bug的初步怀疑。为了验证这一猜想,我们通过调用栈追踪,深入到fastjson的实现层。在序列化流程中,一个名为ObjectSerializer的接口被关键地调用。经过详细分析,我们发现Timestamp类型的序列化逻辑由DateCodec类负责。进一步追踪DateCodec的实现,我们发现了一系列if-else判断的逻辑,用于处理继承自Date类的类的序列化操作。关键在于,fastjson对于date类的实现有特殊的序列化策略,这需要特定的配置来实现正常的toJSONString功能。
解决方案研究
为了克服这一问题,我们提出了两个解决方案。第一,避免直接使用原生的日期类型,而是使用string形式进行表示,以确保输出符合预期。第二,配置fastjson的SerializerFeature,使用fastjson提供的类进行日期的特殊处理。
方案对比
通过实验验证,我们比较了两种方案的执行效率。第一种方案中,使用自定义的toString方法替代原生日期输出,执行时间约为ms。第二种方案下,通过配置SerializerFeature实现日期处理,执行时间约为ms。
结论
fastjson在处理时间类型方面,并没有展现出明显的优势。对于时间类型的打印,我们建议在业务层面对时间进行适当的转换和处理,以确保输出的格式既直观又易于控制。特别是时区的灵活处理,以及更严格的输出格式控制,能够提供更好的用户体验。当然,这仅是个人观点,欢迎不同意见的交流与讨论。
2024-11-19 01:08
2024-11-19 01:06
2024-11-19 00:52
2024-11-19 00:41
2024-11-18 23:57
2024-11-18 23:52
2024-11-18 23:52
2024-11-18 23:13