Fastjson原生配合JDK原生利用链深度分析与总结<\/h1>

1. Fastjson原生利用机制分析<\/h2>

1.1 Fastjson基础触发原理<\/h3>
Fastjson在序列化对象时会自动调用对象的getter方法，这是其核心利用点。关键调用链如下：<\/p>
toJSONString() -> write() -> ASM序列化引擎 -> 调用getter方法
<\/code><\/pre>
调试分析要点：<\/p>

通过toJSONString<\/code>方法触发序列化过程<\/li>
关键点在于writer.write<\/code>方法中的ASM序列化引擎<\/li>
ASM引擎会自动扫描并调用目标对象的所有getter方法<\/li>
<\/ul>
1.2 触发点分析<\/h3>
在实际利用中，触发toJSONString<\/code>的方式：<\/p>

直接调用JSON.toJSONString()<\/code><\/li>
调用toString()<\/code>方法（因为Fastjson的JSONObject<\/code>\/JSONArray<\/code>的toString<\/code>内部会调用toJSONString<\/code>）<\/li>
其他隐式序列化场景<\/li>
<\/ul>
2. JDK原生类利用链分析<\/h2>
2.1 TemplatesImpl利用链<\/h3>
利用原理<\/strong>：<\/p>

利用com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl<\/code>类<\/li>
关键触发方法：getOutputProperties()<\/code>（getter方法）<\/li>
<\/ul>
利用步骤<\/strong>：<\/p>

构造恶意的TemplatesImpl对象，包含字节码<\/li>
Fastjson序列化时会调用getOutputProperties()<\/code><\/li>
触发字节码加载和执行<\/li>
<\/ol>
调试关键点<\/strong>：<\/p>

关注getOutputProperties()<\/code>调用栈<\/li>
观察ASM如何自动触发getter方法<\/li>
验证恶意字节码是否被成功加载<\/li>
<\/ul>
2.2 LdapAttribute利用链<\/h3>
利用原理<\/strong>：<\/p>

利用com.sun.jndi.ldap.LdapAttribute<\/code>类<\/li>
关键触发方法：getAttributeDefinition()<\/code><\/li>
本质上是JNDI注入的变种利用<\/li>
<\/ul>
调用链分析<\/strong>：<\/p>
getAttributeDefinition() -> getSchema() -> p_getSchema() -> p_resolveIntermediate() -> c_resolveIntermediate_nns() -> c_lookup()
<\/code><\/pre>
关键调试步骤<\/strong>：<\/p>

观察getSchema()<\/code>如何处理RDN解析<\/li>
分析p_resolveIntermediate<\/code>方法：

将输入分为头和尾两部分<\/li>
传入c_resolveIntermediate_nns<\/code>方法<\/li>
<\/ul>
<\/li>
最终在c_lookup<\/code>方法中实现JNDI查找<\/li>
<\/ol>
2.3 SignedObject利用链<\/h3>
利用原理<\/strong>：<\/p>

利用java.security.SignedObject<\/code>类<\/li>
关键触发方法：getObject()<\/code><\/li>
该方法可实现二次反序列化<\/li>
<\/ul>
利用特点<\/strong>：<\/p>

需要控制content<\/code>字段的值（包含二次反序列化内容）<\/li>
可与其他反序列化链结合形成攻击链<\/li>
<\/ul>
调试要点<\/strong>：<\/p>

验证getObject()<\/code>方法是否被成功调用<\/li>
观察二次反序列化的触发过程<\/li>
检查content<\/code>字段的构造方式<\/li>
<\/ul>
3. 组合利用实践<\/h2>
3.1 典型POC构造要点<\/h3>


TemplatesImpl链<\/strong>：<\/p>

构造包含恶意字节码的TemplatesImpl对象<\/li>
确保Fastjson版本存在自动调用getter的漏洞<\/li>
<\/ul>
<\/li>

LdapAttribute链<\/strong>：<\/p>

构造恶意的LDAP引用<\/li>
利用getAttributeDefinition<\/code>触发JNDI查找<\/li>
<\/ul>
<\/li>

SignedObject链<\/strong>：<\/p>

构造包含二次反序列化数据的SignedObject对象<\/li>
确保getObject()<\/code>被调用时触发后续链<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 防御绕过技巧<\/h3>

使用JDK原生类绕过黑名单检测<\/li>
利用非常规getter方法（如getAttributeDefinition<\/code>）<\/li>
多层嵌套利用（如SignedObject的二次反序列化）<\/li>
<\/ol>
4. 防御建议<\/h2>


Fastjson加固<\/strong>：<\/p>

升级到最新安全版本<\/li>
启用SafeMode<\/li>
自定义反序列化过滤器<\/li>
<\/ul>
<\/li>

JDK层面防御<\/strong>：<\/p>

限制JNDI查找<\/li>
监控可疑的类加载行为<\/li>
禁用不必要的Java特性<\/li>
<\/ul>
<\/li>

运行时防护<\/strong>：<\/p>

使用RASP解决方案<\/li>
实施严格的输入验证<\/li>
监控异常序列化行为<\/li>
<\/ul>
<\/li>
<\/ol>
5. 深入调试技巧<\/h2>


使用IDEA调试Fastjson源码：<\/p>

重点关注ASM序列化部分<\/li>
跟踪getter方法调用栈<\/li>
<\/ul>
<\/li>

JDK源码调试：<\/p>

下载对应版本的JDK源码<\/li>
重点关注LdapAttribute<\/code>、TemplatesImpl<\/code>等关键类<\/li>
<\/ul>
<\/li>

动态分析工具：<\/p>

使用Java Agent技术监控方法调用<\/li>
结合字节码分析工具观察恶意类加载<\/li>
<\/ul>
<\/li>
<\/ol>
6. 扩展研究方向<\/h2>

其他JDK原生类的潜在利用链<\/li>
Fastjson不同版本间的差异利用<\/li>
结合新型攻击技术（如EL表达式注入）<\/li>
跨中间件的联合利用研究<\/li>
<\/ol>
通过深入理解Fastjson与JDK原生类的交互机制，安全研究人员可以更全面地评估Fastjson使用的风险，并开发更有效的防御策略。<\/p>