Fastjson Gadget自动挖掘工具使用指南<\/h1>

工具概述<\/h2>
这是一个用于自动挖掘Fastjson可利用Gadget的工具，特别关注JNDI注入相关的利用链。该工具通过分析jar包的抽象语法树(AST)来识别潜在的Gadget类。<\/p>

工具原理<\/h2>

核心思路<\/h3>

预处理jar包并反编译<\/li>
通过AST分析筛选符合Fastjson反序列化条件的类<\/li>

检测包含JNDI注入关键方法(

InitialContext.lookup()<\/code>)的类<\/li>
<\/ol>
Fastjson反序列化限制条件<\/h3>

不能继承Classloader<\/code><\/li>
不能实现DataSource<\/code>和RowSet<\/code>接口<\/li>
必须有一个无参构造函数<\/li>
<\/ul>
工具模块详解<\/h2>
1. 预处理模块<\/h3>
command && jar_process<\/code>函数<\/h4>

功能：创建项目文件夹并预处理jar包<\/li>
参数：

operating_system<\/code>：考虑不同操作系统文件路径处理差异<\/li>
<\/ul>
<\/li>
操作：

为待检测jar包创建项目文件夹<\/li>
<\/ul>
<\/li>
<\/ul>
jar_decompile<\/code>函数<\/h4>

功能：反编译jar包生成Java源码<\/li>
实现：

使用IntelliJ IDEA的java-decompiler.jar<\/code>进行反编译<\/li>
使用unzip<\/code>命令解压反编译结果到项目文件夹<\/li>
<\/ul>
<\/li>
<\/ul>
2. 源码扫描模块<\/h3>
scanner_dir && javafile_generate<\/code>函数<\/h4>

功能：遍历项目目录获取Java源码文件路径<\/li>
<\/ul>
scanner_file<\/code>函数<\/h4>

功能：初步筛选包含JNDI注入关键字的文件<\/li>
筛选条件：

文件必须包含InitialContext()<\/code>相关内容<\/li>
<\/ul>
<\/li>
处理流程：

使用javalang<\/code>库解析源代码生成AST<\/li>
遍历类声明和方法声明<\/li>
进行类层面的条件判断<\/li>
可选黑名单检测(默认包含已知黑名单类)<\/li>
输出并保存符合条件的扫描结果<\/li>
<\/ol>
<\/li>
<\/ul>
3. 类声明分析模块<\/h3>
class_declaration_generate<\/code>函数<\/h4>

功能：根据Fastjson限制条件筛选类声明<\/li>
筛选步骤：

排除非类声明<\/li>
排除继承自Classloader<\/code>的类<\/li>
排除实现DataSource<\/code>和RowSet<\/code>接口的类<\/li>
检查是否存在无参构造函数<\/li>
<\/ol>
<\/li>
输出：符合条件的类声明列表<\/li>
<\/ul>
4. 方法调用检测模块<\/h3>
lookup_detect<\/code>函数<\/h4>

功能：检测类方法中是否包含可利用的lookup<\/code>调用<\/li>
检测条件：

方法中调用了lookup<\/code>方法<\/li>
lookup<\/code>方法的参数是变量<\/li>
<\/ol>
<\/li>
实现方式：

深度优先遍历MethodDeclaration<\/code>的子节点<\/li>
检查节点类型是否为MethodInvocation<\/code><\/li>
检查被调用方法名是否为lookup<\/code><\/li>
<\/ul>
<\/li>
变量可控性简化判断：

类的属性和方法入参视为可控变量(避免复杂的数据流分析)<\/li>
<\/ul>
<\/li>
<\/ul>
工具使用<\/h2>
安装依赖<\/h3>
pip install javalang
<\/span><\/span><\/code><\/pre>使用方式<\/h3>
python main.py [<\/span> -h ]<\/span> jar operating_system
<\/span><\/span><\/code><\/pre>参数说明<\/h3>

位置参数：

jar<\/code>：要扫描的jar文件路径<\/li>
operating_system<\/code>：操作系统类型(Windows\/Linux\/MacOS)<\/li>
<\/ul>
<\/li>
可选参数：

-h\/--help<\/code>：显示帮助信息<\/li>
<\/ul>
<\/li>
<\/ul>
示例<\/h3>
python main.py target.jar Linux
<\/span><\/span><\/code><\/pre>验证效果<\/h2>
在SUSCTF 2022赛题环境中测试，工具成功识别出了比赛中使用的Gadget类。<\/p>
局限性<\/h2>

对其他jar包的挖掘效果有待验证<\/li>
变量可控性判断采用简化方法，可能存在误报<\/li>
仅针对JNDI注入类Gadget，不覆盖所有Fastjson利用链<\/li>
<\/ol>
改进方向<\/h2>

增加更精确的数据流分析<\/li>
扩展支持其他类型的Gadget检测<\/li>
优化AST遍历效率<\/li>
增加更灵活的黑名单\/白名单机制<\/li>
<\/ol>
总结<\/h2>
该工具通过AST分析实现了Fastjson Gadget的半自动化挖掘，特别针对JNDI注入场景。虽然存在一定局限性，但能有效缩小人工分析范围，提高漏洞挖掘效率。<\/p>

Fastjson Gadget自动挖掘工具使用指南<\/h1>

工具概述<\/h2> 这是一个用于自动挖掘Fastjson可利用Gadget的工具，特别关注JNDI注入相关的利用链。该工具通过分析jar包的抽象语法树(AST)来识别潜在的Gadget类。<\/p>

工具原理<\/h2>

工具模块详解<\/h2>

1. 预处理模块<\/h3>

2. 源码扫描模块<\/h3>

3. 类声明分析模块<\/h3>

4. 方法调用检测模块<\/h3>

工具使用<\/h2>

验证效果<\/h2> 在SUSCTF 2022赛题环境中测试，工具成功识别出了比赛中使用的Gadget类。<\/p>

总结<\/h2> 该工具通过AST分析实现了Fastjson Gadget的半自动化挖掘，特别针对JNDI注入场景。虽然存在一定局限性，但能有效缩小人工分析范围，提高漏洞挖掘效率。<\/p>

工具概述<\/h2>
这是一个用于自动挖掘Fastjson可利用Gadget的工具，特别关注JNDI注入相关的利用链。该工具通过分析jar包的抽象语法树(AST)来识别潜在的Gadget类。<\/p>

验证效果<\/h2>
在SUSCTF 2022赛题环境中测试，工具成功识别出了比赛中使用的Gadget类。<\/p>

总结<\/h2>
该工具通过AST分析实现了Fastjson Gadget的半自动化挖掘，特别针对JNDI注入场景。虽然存在一定局限性，但能有效缩小人工分析范围，提高漏洞挖掘效率。<\/p>