此篇系列文章将会从 Java 的基础语法开始,以 Fastjson 的各个反序列化漏洞分析为结尾,详细记录如何从一个具有基础面向对象编程但毫无 Java 基础的小白成长为了解 Fastjson 的各个漏洞并能够熟练利用的网络安全人员。
我们使用 IDEA 作为开发的 IDE(社区版或专业版均可,我使用的是IDEA 2024.1.3版本)。
打开 IDEA ,新建项目,按下图设置项目名称、构建系统、以及JDK。
不了解 Java 的同学此时会问,Maven是什么?
Maven 是一个广泛运用于 Java 项目中的管理工具,它通过一个标准的项目结构和一套定义良好的生命周期来简化项目的构建、依赖管理和发布过程。Maven 的主要功能包括项目构建、依赖管理、项目报告和文档生成等。
我们在此引用 Maven 主要是能够快速地将 Fastjson 引用到我们的项目中。Maven 通过 POM (Project Object Model) 这一核心文件来定义项目的基本信息、依赖关系、构建命令以及插件管理。而 POM 则是以 XML 的格式来指定项目的各个方面。
<groupId>: 项目组的唯一标识。
<artifactId>: 项目的唯一标识。
<version>: 项目的版本号。
那么接下来我们就要通过 Maven 引入 Fastjson,通过将以下代码加入到 pom.xml ,在 IDEA 的右侧边栏单击 Maven 的图标,刷新Maven 既可将 Fastjson 的指定版本引入项目。
在通过 Maven 构建项目后,项目下会自动生成一些目录,标准的项目目录结构不仅使项目更容易理解和管理,也能更好地支持各种构建工具和 IDE。
src/
src 目录用于存放项目的主要源代码文件,通常遵循包结构,典型的目录组织如下:
src/main/java/:存放主要的 Java 源代码。
test/
test 目录用于存放测试代码,目录结构与 src 类似,但用于存放单元测试和集成测试代码。
src/test/java/:存放测试代码。
src/test/resources/:存放测试时需要的资源文件。
下图通过创建一个名为 org.example 的包,在其中添加一个名为 Main 的类,在其中创建一个名为 main 的方法,调用 Java 本身的标准输出函数将 HelloWorld 输出到屏幕。
我们可以来简要分析一下下面的代码。
package org.example;
public class Main {
public static void main(String[] args){
System.out.println("Hello World!");
}
}
Main类,通过 package 定义该类处于 org.example 包中,在 Java 中每个 .java 文件只能有一个 public 类,且该类名需要与 .java 的文件名相一致。
Java 程序的入口点是一个具有特定样式的 main 方法:public static void main(String[] args),这个方法会是 JVM 启动时首先调用的方法。其 :
public:表示方法是公开的,JVM 可以从任何地方调用它。static:表示方法是静态的,不需要创建类的实例就可以调用。void:表示方法不返回任何值。main:方法的名称,JVM 识别的入口点。String[] args:表示接受一个字符串数组,一般用于传递命令行参数。System.out.println("Hello World!")
System 是 Java 标准库中的一个类,属于 java.lang 包,无需导入就可以直接使用。
out 是 System 类中的一个静态字段,在 JVM 启动时,它是PrintStream 实例化的对象,连接到控制台。println()是 PrintStream 的一个方法,是重载的,可以打印不同类型的数据。在拥有了上面的基础知识后,我们可以开始写一个 fastjson 的 Demo 了。代码如下。
package org.example;
import com.alibaba.fastjson.JSON;
public class FastJsonDemo {
public static void main(String[] args){
// 将一个Java对象序列化为字符串
Computer macBookAir = new Computer("RichardLuo's Macbook Air", 16384);
String preSend = JSON.toJSONString(macBookAir);
System.out.println(preSend);
// 将一个字符串反序列化为Java对象
String preReceive = "{\"computerName\":\"RichardLuo's Macbook Pro\",\"ramSize\":\"8192\"}";
Computer macBookPro = JSON.parseObject(preReceive,Computer.class);
System.out.println(macBookPro.getComputerName() + " with " + macBookPro.getRamSize());
}
public static class Computer{
private String computerName;
private int ramSize;
public Computer(String computerName, int ramSize){
this.computerName = computerName;
this.ramSize = ramSize;
}
public String getComputerName(){
return computerName;
}
public String getRamSize(){
return Integer.toString(ramSize);
}
}
}
上述代码首先定义了一个静态类 Computer ,其中定义了两个字段和三个方法(其中getComputerName()和getRamSize()方法较为简单不过赘述),Computer 方法为类的构造方法,关于 Java 类的构造方法:
void 也没有。new 关键字创建对象时,构造函数会被自动调用。在入口函数中,我们创建了一个名为 macBookAir 的 Java 对象,并将其通过 fastjson 的 toJSONString 函数序列化成 json 样式的字符串并输出。随后我们又定义了一个 json 样式的字符串反序列化为 Java 对象。程序输出如下。
可见,Fastjson 能够简单、快速的将 Java 对象转换为 json 字符串。
那么,fastjson 是如何将字符串与 Java 对象对应起来的呢?
fastjson 默认采用字段名匹配的方式,将 json 中的键与 Java 对象的属性进行映射。它会遍历 Java 类中的所有字段,并尝试从 json 中找到与字段名相同的键。如果找到,就将 json 中的值赋给 Java 对象的对应字段。这里的例子就是我们上面样例代码的方式。
但如果 json 中的字段名和对象中的属性名无法对应上呢?fastjson 提供了注解的方式来建立映射关系,代码如下。
package org.example;
import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.annotation.JSONField;
public class FastJsonDemo {
public static void main(String[] args){
// 将一个Java对象序列化为字符串
Computer macBookAir = new Computer("RichardLuo's Macbook Air", 16384, 1024);
String preSend = JSON.toJSONString(macBookAir);
System.out.println(preSend);
// 将一个字符串反序列化为Java对象
String preReceive = "{\"computerName\":\"RichardLuo's Macbook Pro\",\"ramSize\":\"8192\",\"dkSize\":\"1024\"}";
Computer macBookPro = JSON.parseObject(preReceive,Computer.class);
System.out.println(macBookPro.getComputerName() + " with " + macBookPro.getRamSize() + "MB of Ram and " + macBookPro.getDiskSize() + "GB storage");
}
public static class Computer{
private String computerName;
private int ramSize;
@JSONField(name = "dkSize")
private int diskSize;
public Computer(String computerName, int ramSize, int diskSize){
this.computerName = computerName;
this.ramSize = ramSize;
this.diskSize = diskSize;
}
public String getComputerName(){
return computerName;
}
public String getRamSize(){
return Integer.toString(ramSize);
}
public String getDiskSize(){
return Integer.toString(diskSize);
}
}
}
在上面的代码中,我们为Computer类添加了diskSize属性,并通过 @JSONField(name = "dkSize") 将 dkSize 与 diskSize 相关联。在主函数中,我们即使在反序列化的时候使用 dkSize 也能够同样获得正确的映射了。运行结果如下。
但是我们发现,在从 Java 对象序列化为 json 字符串后,其字段名称重新排序了,这是因为 fastjson 在默认情况下,生成字符串的顺序是按照属性的字母进行排序的,而不是按照属性在类中的声明顺序。如果我们希望按照属性在类中的声明顺序来生成 json 字符串,可以通过在类中使用@JSONType注解来设置属性的序列化顺序,示例如下。
