fastjson中JSONArrayJSONObject中toString方法触发getter的原理(有例题)
💡
原文中文,约3800字,阅读约需9分钟。
📝
内容提要
本文介绍了利用fastjson反序列化过程中调用getter方法进行JNDI注入的方法,重写ObjectInputStream#resolveClass方法进行安全性检查,详细分析了调用getter流程。
🎯
关键要点
-
本文介绍了利用fastjson反序列化过程中调用getter方法进行JNDI注入的方法。
-
常规的fastjson利用是通过autoType解析json串调用getter/setter方法。
-
在没有json串解析入口的情况下,仍然可以利用反序列化点进行攻击。
-
出题者重写了ObjectInputStream类中的resolveClass方法进行安全性检查。
-
MyBean类是攻击的关键点,通过构造POC实现JNDI注入。
-
利用链包括BadAttributeValueExpException#readObject、JSONArray#toString等。
-
JSONArray类的toString方法触发getter方法,是攻击的关键。
-
调用getter流程涉及JSONSerializer#write和ObjectSerializer的实现。
-
通过createJavaBeanSerializer方法动态生成JavaBeanSerializer类。
-
动态生成的类能够执行JavaBean类的getter方法,形成完整的调用栈。
➡️
