Java代码审计：悟空CRM客户管理系统Fastjson漏洞分析<\/h1>

一、环境搭建<\/h2>

1.1 系统要求<\/h3>

悟空CRM版本<\/strong>: 9.0 (WukongCRM-9.0-JAVA-9.0.1_20191202)<\/li>
数据库<\/strong>: MySQL (UTF-8编码)<\/li>
缓存<\/strong>: Redis<\/li>

开发环境<\/strong>: IDEA + Tomcat<\/li> <\/ul>
1.2 搭建步骤<\/h3>

数据库配置<\/strong>:<\/p>

数据库文件路径: src\/main\/resources\/config\/crm9-config.txt<\/code><\/li>
导入SQL文件: crm9.sql<\/code><\/li>
字符集: UTF-8<\/li> <\/ul> <\/li>
Redis配置<\/strong>:<\/p> 配置文件路径: src\/main\/resources\/config\/redis.json<\/code><\/li> 默认密码: 123456<\/code><\/li> <\/ul> <\/li> 运行配置<\/strong>:<\/p> 使用IDEA打开项目<\/li> 配置Tomcat中间件<\/li> 默认管理员账号: admin\/123456<\/code><\/li> <\/ul> <\/li> <\/ol> 二、Fastjson漏洞审计<\/h2> 2.1 漏洞组件识别<\/h3> 检查pom.xml<\/strong>:<\/p> 发现引用了Fastjson组件<\/li> 版本: 1.2.54 (已知存在漏洞的版本)<\/li> <\/ul> <\/li> 漏洞方法定位<\/strong>:<\/p> 搜索关键方法: JSON.parseObject<\/code><\/li> 发现多处引用此方法<\/li> <\/ul> <\/li> <\/ol> 2.2 漏洞代码分析<\/h3> 漏洞位置<\/strong>: AdminExamineController.java<\/code> 中的 saveExamine<\/code> 方法<\/p> @Permissions<\/span>(<\/span>"manage:examineFlow:update"<\/span>)<\/span> <\/span><\/span>public<\/span> void<\/span> saveExamine<\/span>()<\/span> {<\/span> <\/span><\/span> JSONObject jsonObject =<\/span> JSON.<\/span>parseObject<\/span>(<\/span>getRawData());<\/span> <\/span><\/span> renderJson(<\/span>examineService.<\/span>saveExamine<\/span>(<\/span>jsonObject));<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>代码解析<\/strong>:<\/p> @Permissions<\/code> 注解: 权限控制，需要 manage:examineFlow:update<\/code> 权限<\/li> getRawData()<\/code>: 获取原始请求数据<\/li> JSON.parseObject()<\/code>: 将JSON字符串转换为JSONObject对象<\/li> renderJson()<\/code>: 将结果渲染为JSON响应<\/li> <\/ol> 漏洞点<\/strong>:<\/p> 直接使用 JSON.parseObject()<\/code> 解析未经验证的用户输入<\/li> Fastjson 1.2.54版本存在反序列化漏洞<\/li> <\/ul> 2.3 漏洞验证<\/h3> 使用DNSLog平台<\/strong>:<\/p> 搭建DNSLog环境<\/li> 构造Fastjson漏洞POC<\/li> <\/ul> <\/li> 验证步骤<\/strong>:<\/p> 拦截添加审批的请求<\/li> 插入Fastjson漏洞POC<\/li> 观察DNSLog平台是否有回显<\/li> <\/ul> <\/li> <\/ol> 2.4 其他潜在漏洞点<\/h3> 审计发现系统中还存在多处类似漏洞:<\/p> 产品管理模块<\/li> 线索管理模块<\/li> 其他使用 JSON.parseObject<\/code> 的地方<\/li> <\/ul> 三、修复建议<\/h2> 升级Fastjson<\/strong>:<\/p> 升级到最新安全版本(1.2.83或更高)<\/li> <\/ul> <\/li> 输入验证<\/strong>:<\/p> 对用户输入进行严格验证<\/li> 使用白名单机制过滤输入<\/li> <\/ul> <\/li> 安全编码<\/strong>:<\/p> 避免直接解析不可信的JSON数据<\/li> 使用安全的JSON解析方式<\/li> <\/ul> <\/li> 权限控制<\/strong>:<\/p> 虽然已有权限注解，但仍需确保权限验证有效<\/li> <\/ul> <\/li> <\/ol> 四、总结<\/h2> 本次审计发现悟空CRM 9.0系统中存在Fastjson反序列化漏洞，主要由于:<\/p> 使用了存在漏洞的Fastjson 1.2.54版本<\/li> 多处直接使用JSON.parseObject<\/code>解析未经验证的用户输入<\/li> 漏洞可导致远程代码执行<\/li> <\/ol> 建议开发者及时修复，并全面检查系统中所有JSON解析点。<\/p>