Fastjson反序列化漏洞原理深度解析<\/h1>

0x01 前言<\/h2>
Fastjson是Java中广泛使用的JSON处理库，但其反序列化机制存在严重安全漏洞。本文将全面剖析Fastjson反序列化漏洞的原理、机制和利用方式。<\/p>

0x02 前置知识<\/h2>

JSON基础<\/h3>

JSON(JavaScript Object Notation)是一种轻量级的数据交换格式，示例：<\/p>

{
<\/span><\/span>  "name"<\/span>: "BossFrank"<\/span>,
<\/span><\/span>  "age"<\/span>: 23<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>Fastjson简介<\/h3>
Fastjson是阿里巴巴开源的高性能JSON处理库，主要功能：<\/p>

序列化：JSON.toJSONString(Object object)<\/code><\/li>
反序列化：JSON.parse()<\/code>和JSON.parseObject()<\/code><\/li>
<\/ul>
关键安全特性<\/h3>
Fastjson引入了@type<\/code>字段，允许指定反序列化的目标类：<\/p>
{
<\/span><\/span>  "@type"<\/span>: "com.example.Person"<\/span>,
<\/span><\/span>  "name"<\/span>: "Mike"<\/span>,
<\/span><\/span>  "age"<\/span>: 17<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>0x03 反序列化函数差异<\/h2>
JSON.parse()<\/h3>

返回指定@type<\/code>的实际Java对象<\/li>
仅调用目标类的setter方法<\/li>
<\/ul>
JSON.parseObject()<\/h3>

返回JSONObject对象<\/li>
调用目标类的getter和setter方法<\/li>
可通过两种方式获取实际对象：

传入第二个参数指定类：parseObject(jsonStr, TargetClass.class)<\/code><\/li>
对返回的JSONObject调用toJavaObject()<\/code><\/li>
<\/ol>
<\/li>
<\/ul>
0x04 反序列化流程分析<\/h2>
核心调用链<\/h3>

parseObject(String)<\/code>或parse(String)<\/code> →<\/li>
parse(String text, int features)<\/code> →<\/li>
实例化DefaultJSONParser →<\/li>
调用无参parse()<\/code> →<\/li>
进入parse(Object)<\/code>处理令牌<\/li>
<\/ol>
关键处理步骤<\/h3>

遇到{<\/code>时创建JSON对象<\/li>
解析@type<\/code>字段获取目标类名<\/li>
加载指定类并获取反序列化器<\/li>
创建JavaBean反序列化器(涉及ASM优化)<\/li>
<\/ol>
JavaBean反序列化器创建<\/h3>


检查类是否在黑名单中<\/p>
<\/li>

创建JavaBeanInfo，收集类信息：<\/p>

遍历所有方法，识别setter方法：

方法名长度>4<\/li>
非静态<\/li>
返回void<\/li>
以"set"开头<\/li>
接受一个参数<\/li>
<\/ul>
<\/li>
收集字段信息<\/li>
识别getter方法：

方法名长度>4<\/li>
非静态<\/li>
以"get"开头<\/li>
返回Collection\/Map\/Atomic*类型<\/li>
无参数<\/li>
无对应setter方法<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

根据ASM开关决定使用ASM优化或常规反序列化器<\/p>
<\/li>
<\/ol>
反序列化执行<\/h3>

构造目标类实例<\/li>
根据FieldList进行属性赋值：

调用对应setter方法<\/li>
对于只有getter的属性也会处理<\/li>
<\/ul>
<\/li>
对于parseObject，后续会调用toJSON()触发getter方法<\/li>
<\/ol>
0x05 漏洞原理<\/h2>
根本原因<\/h3>

@type<\/code>特性允许指定任意类进行反序列化<\/li>
自动调用setter\/getter方法机制<\/li>
攻击者可构造恶意JSON，指定危险类并触发其方法<\/li>
<\/ol>
关键利用点<\/h3>

类中存在的setter\/getter方法可作为入口点<\/li>
即使JSON中的字段名与类字段不匹配，只要匹配方法名也能触发<\/li>
通过方法链最终执行危险操作(如RCE)<\/li>
<\/ol>
漏洞利用示例<\/h3>
恶意类示例：<\/p>
public<\/span> class<\/span> EvilClass<\/span> {<\/span>
<\/span><\/span>    private<\/span> String cmd;<\/span>
<\/span><\/span>    
<\/span><\/span>    public<\/span> void<\/span> setCmd<\/span>(<\/span>String cmd)<\/span> {<\/span>
<\/span><\/span>        this<\/span>.<\/span>cmd<\/span> =<\/span> cmd;<\/span>
<\/span><\/span>        Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>cmd);<\/span> \/\/ 危险操作
<\/span><\/span><\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>恶意JSON：<\/p>
{
<\/span><\/span>  "@type"<\/span>: "com.example.EvilClass"<\/span>,
<\/span><\/span>  "cmd"<\/span>: "calc.exe"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>0x06 防御措施<\/h2>

升级到最新安全版本<\/li>
关闭autoType<\/code>功能<\/li>
使用白名单机制限制反序列化的类<\/li>
对输入进行严格过滤<\/li>
<\/ol>
0x07 总结<\/h2>
Fastjson反序列化漏洞的核心在于：<\/p>

通过@type<\/code>指定任意类<\/li>
自动调用setter\/getter的机制<\/li>
攻击者可构造链式调用达到恶意目的<\/li>
<\/ol>
理解这些机制对于防御Fastjson反序列化攻击至关重要。<\/p>

Fastjson反序列化漏洞原理深度解析<\/h1>

0x01 前言<\/h2> Fastjson是Java中广泛使用的JSON处理库，但其反序列化机制存在严重安全漏洞。本文将全面剖析Fastjson反序列化漏洞的原理、机制和利用方式。<\/p>

0x02 前置知识<\/h2>

0x03 反序列化函数差异<\/h2>

0x04 反序列化流程分析<\/h2>

0x05 漏洞原理<\/h2>

0x07 总结<\/h2> Fastjson反序列化漏洞的核心在于：<\/p> 通过@type<\/code>指定任意类<\/li> 自动调用setter\/getter的机制<\/li> 攻击者可构造链式调用达到恶意目的<\/li> <\/ol> 理解这些机制对于防御Fastjson反序列化攻击至关重要。<\/p>

0x01 前言<\/h2>
Fastjson是Java中广泛使用的JSON处理库，但其反序列化机制存在严重安全漏洞。本文将全面剖析Fastjson反序列化漏洞的原理、机制和利用方式。<\/p>

0x07 总结<\/h2>
Fastjson反序列化漏洞的核心在于：<\/p>

通过`@type<\/code>指定任意类<\/li>`
`自动调用setter\/getter的机制<\/li>`
`攻击者可构造链式调用达到恶意目的<\/li> <\/ol> 理解这些机制对于防御Fastjson反序列化攻击至关重要。<\/p>`