高版本FastJSON畸形Payload探测解析技术分析<\/h1>

一、背景概述<\/h2>
在高版本FastJSON（以1.2.68为例）中，由于对`@type<\/code>字段加强了安全限制并引入了白名单机制，传统的反序列化漏洞利用变得困难。然而，通过构造特定畸形Payload仍可实现DNS探测，这是渗透测试中重要的信息收集手段。<\/p>`

二、DNS探测原理<\/h2>
基本工作机制<\/h3>

DNS查询发送<\/strong>：探测工具向目标发送DNS查询请求，查询类型包括A记录、NS记录、MX记录、TXT记录等<\/li>
响应分析<\/strong>：根据返回的DNS响应信息分析目标域的IP地址、服务器配置和网络结构<\/li>
层次结构探测<\/strong>：通过多类型DNS记录查询了解域名层次结构和权威DNS服务器<\/li>
反向探测<\/strong>：通过PTR记录进行反向查询，获取IP地址关联的域名信息<\/li>
<\/ul>
安全意义<\/h3>
DNS探测是渗透测试中常见的信息收集技术，可用于了解目标网络结构和服务器配置，有效的防护措施可降低由此带来的安全风险。<\/p>
三、FastJSON高版本限制分析<\/h2>
关键检测机制<\/h3>
在checkAutoType<\/code>方法中，autoTypeSupport<\/code>默认开启状态决定了黑白名单的拦截效果。分析发现仍有绕过可能性：<\/p>

Mapping缓存利用<\/strong>：如果目标类已存在于Mapping中，可直接利用<\/li>
Deserializers检测<\/strong>：如果目标类是FastJSON内置反序列化器支持的类，也可绕过限制<\/li>
<\/ol>
可利用类分析<\/h3>
通过分析发现，Inet4Address<\/code>和Inet6Address<\/code>类与DNS探测功能相关，且存在于FastJSON的反序列化器支持列表中，成为理想的利用目标。<\/p>
四、Payload构造与解析过程<\/h2>
初始构造尝试<\/h3>
{"@type"<\/span>:"java.net.Inet4Address"<\/span>,"val"<\/span>:"dnslog"<\/span>}
<\/span><\/span><\/code><\/pre>此Payload能够成功触发DNS查询，但需要满足特定条件。<\/p>
解析流程分析<\/h3>

类型检查阶段<\/strong>：FastJSON解析@type<\/code>字段，从deserializers<\/code>中找到对应class<\/li>
反序列化入口<\/strong>：进入DefaultJSONParser.java<\/code>开始反序列化过程<\/li>
MiscCodec处理<\/strong>：转入MiscCodec.deserialze<\/code>方法处理特殊类型<\/li>
字段解析<\/strong>：解析val属性值时触发DNS解析<\/li>
<\/ol>
关键解析逻辑<\/h3>

判断clazz == InetSocketAddress.class<\/code>（结果为false）<\/li>
解析器接受逗号分隔符（parser.accept(JSONToken.COMMA)<\/code>）<\/li>
验证key必须为"val"，否则抛出异常<\/li>
解析val的value值（即DNS地址）<\/li>
通过InetAddress.getByName()<\/code>触发DNS查询<\/li>
<\/ul>
五、畸形Payload开发与调试<\/h2>
第一次问题：语法错误<\/h3>
{"@type"<\/span>:"java.net.InetSocketAddress"<\/span>,{<\/span>"@type"<\/span>:"java.net.Inet4Address"<\/span>,"val"<\/span>:"dnslog"<\/span>}}<\/span>
<\/span><\/span><\/code><\/pre>报错信息：JSONException: syntax error, expect {, actual ,<\/code>

原因：解析器在parser.accept(JSONToken.LBRACE)<\/code>处失败，期望遇到左大括号<\/p>
第二次修正：调整结构<\/h3>
{"@type"<\/span>:"java.net.InetSocketAddress"<\/span>,{<\/span>"address"<\/span>:{"@type"<\/span>:"java.net.Inet4Address"<\/span>,"val"<\/span>:"dnslog"<\/span>}}}<\/span>
<\/span><\/span><\/code><\/pre>解析通过但未传入必要参数，无法完成有效DNS探测<\/p>
第三次完善：参数补充<\/h3>
{"@type"<\/span>:"java.net.InetSocketAddress"<\/span>,{<\/span>"address"<\/span>:{"@type"<\/span>:"java.net.Inet4Address"<\/span>,"val"<\/span>:"dnslog"<\/span>},"port"<\/span>:0<\/span>}}<\/span>
<\/span><\/span><\/code><\/pre>成功进入解析逻辑，解析address值时再次进入MiscCodec.deserialze<\/code>方法<\/p>
最终有效Payload<\/h3>
{"@type"<\/span>:"java.net.InetSocketAddress"<\/span>,{<\/span>"address"<\/span>:{"@type"<\/span>:"java.net.Inet4Address"<\/span>,"val"<\/span>:"dnslog"<\/span>},"port"<\/span>:0<\/span>}}<\/span>
<\/span><\/span><\/code><\/pre>虽然不符合标准JSON语法，但FastJSON能够成功解析并触发DNS查询。<\/p>
六、技术要点总结<\/h2>

绕过机制<\/strong>：利用FastJSON对非常规JSON语法的容错性实现绕过<\/li>
类选择<\/strong>：Inet4Address<\/code>\/Inet6Address<\/code>存在于内置反序列化器支持列表<\/li>
关键字段<\/strong>：必须使用"val"作为属性名才能通过验证<\/li>
嵌套结构<\/strong>：通过InetSocketAddress<\/code>包装实现参数传递<\/li>
解析特性<\/strong>：FastJSON在解析过程中会自动进行DNS查询<\/li>
<\/ol>
七、防护建议<\/h2>

严格限制FastJSON反序列化的输入源<\/li>
及时更新至最新版本FastJSON<\/li>
配置安全白名单，限制可反序列化的类<\/li>
监控异常DNS查询行为<\/li>
对用户输入进行严格校验和过滤<\/li>
<\/ol>
此技术主要用于安全研究和渗透测试，实际使用需遵守相关法律法规和授权规定。<\/p>

高版本FastJSON畸形Payload探测解析技术分析<\/h1>

安全意义<\/h3> DNS探测是渗透测试中常见的信息收集技术，可用于了解目标网络结构和服务器配置，有效的防护措施可降低由此带来的安全风险。<\/p>

三、FastJSON高版本限制分析<\/h2>

可利用类分析<\/h3> 通过分析发现，Inet4Address<\/code>和Inet6Address<\/code>类与DNS探测功能相关，且存在于FastJSON的反序列化器支持列表中，成为理想的利用目标。<\/p>

五、畸形Payload开发与调试<\/h2>

安全意义<\/h3>
DNS探测是渗透测试中常见的信息收集技术，可用于了解目标网络结构和服务器配置，有效的防护措施可降低由此带来的安全风险。<\/p>

可利用类分析<\/h3>
通过分析发现，`Inet4Address<\/code>和Inet6Address<\/code>类与DNS探测功能相关，且存在于FastJSON的反序列化器支持列表中，成为理想的利用目标。<\/p>`