反序列化漏洞4-創新互聯

fastjson簡介

fastjson是阿里巴巴開發的java的一個庫，可以將java對象轉化為json格式的字符串，也可以將json格式的字符串轉化為java對象

10年專注成都網站制作，成都定制網站，個人網站制作服務，為大家分享網站制作知識、方案，網站設計流程、步驟,成功服務上千家企業。為您提供網站建設,網站制作,網頁設計及定制高端網站建設服務,專注于成都定制網站,高端網頁制作,對食品包裝袋等多個領域，擁有多年的營銷推廣經驗。

提供了 toJSONString() 和 parseObject() 方法來將 Java 對象與 JSON 相互轉換。調用toJSONString方法即可將對象轉換成 JSON 字符串，parseObject 方法則反過來將 JSON 字符串轉換成對象。

fastjson的優點速度快使用廣泛測試完備使用簡單功能完備 fastjson反序列化漏洞原理

在反序列化的時候，會進入parseField方法，進入該方法后，就會調用setValue(object, value)方法，在這里，會執行構造的惡意代碼，最后造成代碼執行。那么通過以上步驟，我們可以知道該漏洞的利用點有兩個，第一是需要我們指定一個類，這個類的作用是為了讓程序獲取這個類來進行反序列化操作。第二是需要將需要執行的代碼提供給程序，所以這里使用了rmi。然后反序列化的時候會去請求rmi服務器，地址為： dnslog.cn/aaa。然后加載aaa這個惡意class文件從而造成代碼執行。

利用類 com.sun.rowset.JdbcRowSetImpl dataSourceName支持傳入一個rmi的源，可以實現JNDI注入攻擊