Fastjson高版本动态代理绕过黑名单利用分析<\/h1>

背景介绍<\/h2>
在Fastjson 2.0.26及之前版本，存在一条仅依赖Fastjson的原生反序列化链，其核心是利用`JsonArray<\/code>类的toString<\/code>方法。该方法会遍历调用其元素的任意公开getter方法，从而可以触发TemplatesImpl#getOutputProperties<\/code>方法，加载恶意字节码实现代码执行。<\/p>`
`但在Fastjson 2.0.27版本后，TemplatesImpl<\/code>类被加入了黑名单，同时黑名单中的类不会被调用getter方法，导致该利用链无法直接使用。<\/p>`

绕过原理<\/h2>
虽然TemplatesImpl<\/code>被禁用，但它实现了Templates<\/code>接口，而该接口也定义了getOutputProperties<\/code>方法。关键发现是：<\/p>

Fastjson的黑名单仅拦截TemplatesImpl<\/code>类的方法调用<\/li>
对代理Templates<\/code>接口的代理类无限制<\/li>
代理对象的方法调用不会被拦截<\/li>
<\/ol>
因此可以通过动态代理创建一个代理对象，通过InvocationHandler<\/code>将方法调用转发到被黑名单限制的TemplatesImpl<\/code>实例上，间接触发TemplatesImpl#getOutputProperties<\/code>方法。<\/p>
反序列化触发toString链<\/h2>
触发JsonArray.toString<\/code>的几种方式：<\/p>

Xstring链<\/strong>或HotSwappableTargetSource#equals<\/code>链<\/li>
BadAttributeValueExpException<\/code>链<\/li>
EventListenerList<\/code>链<\/li>
TextAndMnemonicHashMap<\/code>链<\/li>
<\/ol>
在题目环境中，BadAttributeValueExpException<\/code>、EventListenerList<\/code>和TextAndMnemonicHashMap<\/code>类都被过滤，因此选择Xstring链<\/strong>作为调用JsonArray.toString<\/code>的起点。<\/p>
动态代理实现<\/h2>
题目提供了MyProxy<\/code>代理类和MyObject<\/code>接口，其作用与ObjectFactoryDelegatingInvocationHandler<\/code>类似：<\/p>
\/\/ MyProxy代理类类似于ObjectFactoryDelegatingInvocationHandler
<\/span><\/span><\/span>\/\/ MyObject接口类似于ObjectFactory接口
<\/span><\/span><\/span><\/code><\/pre>关键点在于MyProxy<\/code>的invoke<\/code>方法：<\/p>

如果方法名不是equals<\/code>、hashCode<\/code>、toString<\/code><\/li>
会尝试使用objectFactory.getObject()<\/code>方法获取对象<\/li>
然后通过反射method.invoke<\/code>调用该对象的方法<\/li>
<\/ul>
完整利用链<\/h2>

通过Xstring链触发JsonArray.toString<\/code><\/li>
toString<\/code>方法遍历调用元素的getter方法<\/li>
遇到代理对象时，调用其getOutputProperties<\/code>方法<\/li>
代理对象将调用转发到实际的TemplatesImpl<\/code>实例<\/li>
触发TemplatesImpl#getOutputProperties<\/code>加载恶意字节码<\/li>
<\/ol>
EXP编写要点<\/h2>
由于环境不出网，需要针对Solon框架打入内存马。关键步骤：<\/p>

创建恶意TemplatesImpl<\/code>类<\/li>
构建代理对象包装TemplatesImpl<\/code><\/li>
构造触发链的JSON数据<\/li>
处理反序列化前的条件绕过：

if条件绕过<\/li>
X-Real-Ip: localhost<\/code>请求头伪造<\/li>
<\/ul>
<\/li>
<\/ol>
JSON解析差异利用<\/h2>
题目使用org.json.JSONObject<\/code>而非Fastjson解析JSON，但可以利用其与Map解析的差异：<\/p>

org.json.JSONObject<\/code>处理逗号和分号的方式相同<\/li>
可以利用@type<\/code>进行绕过<\/li>
JSONObject.length实际上是调用map.size<\/li>
<\/ol>
替代toString触发方式<\/h2>
另一种触发toString的链子：<\/p>
AlignmentAction.writeObject -> putValue -> firePropertyChange -> JSONArray.toString
<\/code><\/pre>
关键步骤：<\/p>

在alignmentAction<\/code>初始化时，构造函数链会调用AbstractAction.putValue<\/code><\/li>
将恶意键值存入arrayTable<\/code><\/li>
序列化时写入键值对数量<\/li>
反序列化时读取并putValue<\/code><\/li>
通过修改字节码使键冲突，确保oldValue<\/code>和newValue<\/code>都传入firePropertyChange<\/code><\/li>
反射修改changeSupport<\/code>不为null<\/li>
最终触发JSONArray.toString<\/code><\/li>
<\/ol>
调用栈分析<\/h2>
JSONArray.toString -> 元素getter调用 -> 代理对象方法调用 -> InvocationHandler.invoke -> 
TemplatesImpl.getOutputProperties -> 字节码加载执行
<\/code><\/pre>
防御建议<\/h2>

升级到最新Fastjson版本<\/li>
严格限制反序列化的类白名单<\/li>
对动态代理的使用进行监控<\/li>
检查所有实现了Templates<\/code>接口的类调用<\/li>
<\/ol>
总结<\/h2>
通过动态代理技术，可以绕过Fastjson高版本对特定类的黑名单限制，关键在于理解Fastjson黑名单的实现机制和动态代理的工作方式。这种利用方式展示了Java反序列化漏洞的复杂性和灵活性，也提醒开发者需要全面考虑各种可能的绕过方式。<\/p>