Java安全篇-Fastjson漏洞

前言知识：

一、json

概念：

json全称是JavaScript object notation。即JavaScript对象标记法，使用键值对进行信息的存储。

格式：

{

        "name":"wenda",

        "age":21,

}

 作用：

JSON 可以作为一个对象或者字符串存在，前者用于解读 JSON 中的数据，后者用于通过网络传输 JSON 数据。这不是一个大事件——JavaScript 提供一个全局的 可访问的 JSON 对象来对这两种数据进行转换。

二、Fastjson漏洞

原理：

Fastjson是一个由阿里巴巴开源的Java库，用于将 Java 对象转换成其 JSON 表示形式，也可以用来将 JSON 字符串转换成等效的 Java 对象，与原生的java反序列化相比，FastJson未使用readObject()方法进行反序列化，而是使用了自定义的一套方法，引进了AutoType功能，在反序列化的过程中，会读取到@type的内容，还调用getter和setter方法将JSON字符串还原成对象。，然而，@type的类有可能被恶意构造，只需要合理构造一个JSON，使用@type指定一个想要的攻击类库就可以实现攻击。

为何引进 AutoType功能：

即在序列化的时候，先把原始类型记录下来。使用@type的键记录原始类型，

指纹特征:

任意抓个包，提交方式改为POST，花括号不闭合。返回包在就会出现fastjson字样

危害：

远程代码执行

影响版本：

影响版本：Fastjson1.2.24及之前版本。

代码审计：

参考

fastjson反序列化原理分析 - FreeBuf网络安全行业门户

复现：

Java安全篇--Fastjson1.2.24-RCE漏洞

1.RMI攻击

RMI 全称 Remote Method Invocation，是 JAVA 实现远程过程调用的应用程序编程接口，存储于 java.rmi 包中，使用期方法调用对象时，必须实现 Remote远程接口。它可以让客户机上运行的程序调用远程服务器上的对象。而远程方法调用的特性可以让开发者能够在网络环境中分布操作。RMI 宗旨就是尽可能简化远程接口对象的使用。

REDEM