Fastjson简介

Fastjson是一个Java库，可以实现json和对象之间的转换。

将数据与对象进行转化，这个操作涉及到了反序列化。

与原生的 Java 反序列化不同，FastJson 反序列化并未使用 readObject 方法，而是自定义了反序列化的过程。

通过在反序列化的过程中自动调用类属性的 setter 方法和 getter 方法

将JSON转化成对象

fastjson的格式

{"【对象名】":{
    "@type":"【类名】",
    "【成员变量名1】":【成员变量值1】,
    "【成员变量名2】":【成员变量值2】
    }
}

AutoType的作用：

fastjson提供了AutoType这种方式来指定需要还原的对象以及值 {"@type":"Java_deserialization.User","id":"66666"}其中@type对应的值就是类名，后面的内容就是成员变量名与值

同时还会在一定的条件下调用get和set方法，熟悉的配方熟悉的味道--反序列化漏洞

利用链

待补充

修复与绕过

出现漏洞之后autoTypeSupport属性默认为false，并且增加了checkAutoType()函数，通过黑白名单的方式来防御Fastjson反序列化漏洞

L; 绕过

版本< 1.2.41

com.sun.rowset.jdbcRowSetlmpl在1.2.25版本被加入了黑名单，fastjson有个判断条件判断类名是否以"L"开头、以";"结尾，是的话就提取出其中的类名在加载进来

那么在类名前后分别加上L和；就能绕过黑名单检测

[ 绕过

版本< 1.2.42

随后再次修复

会先去除一次L和；再进行黑名单判断，但是被双写绕过

之后修复了双写绕过，又遇见了和L&;类似的 [ 绕过，在类名前加上 [ 也可以绕过检测

通过严格匹配L;和[修复了漏洞

autoType开关绕过

版本1.2.48通过关闭缓存修复

在autoType关闭的前提下，先利用一个特殊类（java.lang.Class会在checkAutoType之前以常见类的身份加载进缓存）将payload加载进缓存，然后因为autoType关闭，fastjson优先去缓存寻找该类，并将该类反序列化出来（此反序列化存在漏洞）

在fastjson中有一个全局缓存，在类加载的时候，如果autotype没开启，会先尝试从缓存中获取类，如果缓存中有，则直接返回。黑客正是利用这里机制进行了攻击。

抛出异常绕过

版本v1.2.69修复，版本v1.2.68可以使用safeMode修复

在checkAutoType中，有这样一约定，那就是如果指定了expectClass ，那么也会通过校验

在fastjson中， 如果，@type 指定的类为 Throwable 的子类，那对应的反序列化处理类就会使用到 ThrowableDeserializer

而在此方法中，当有一个字段的key也是 @type时，就会把这个 value 当做类名，然后进行一次 checkAutoType 检测。且会指定expectClass，这样就绕过来检测。

且异常类中有get类型的方法，会在反序列化时直接调用达到rce

safeMode

彻底关掉相关功能，在黑白名单之前结束，在checkAutoType时抛出异常

写文件

在与黑白名单的博弈中，还衍生出了写文件的攻击形式（利用链不同）

工具&漏洞复现

环境搭建

使用vulhub搭建环境

使用插件检测

配置好相关的fastjson插件，发送json格式的POST包，burp就会自动检测

开启rmi服务

使用工具开启rmi服务

• -C 参数指定恶意类执行的命令

• -A 参数指定本机ip地址

发送payload

ps:如果是在本机复现，Host填写本地ip，不要写回环地址

先将数据包修改为POST请求，然后body加入带payload的json字符串

攻击成功

参考文章

从FastJson库的不同版本源码中对比学习绕过方法_fastjson如何关闭autotype-CSDN博客

fastjson-BCEL不出网打法原理分析-腾讯云开发者社区-腾讯云 (tencent.com)

干货｜最全fastjson漏洞复现与绕过-腾讯云开发者社区-腾讯云 (tencent.com)

fastjson到底做错了什么？为什么会被频繁爆出漏洞？ (baidu.com)

工具链接

welk1n/JNDI-Injection-Exploit: JNDI注入测试工具

https://github.com/pmiaowu/BurpShiroPassiveScan