第一章 fastjson1.2.24反序列化漏洞原理代码分析

@ author 鸿鸟安全

前言

       FastJson漏洞代码分析，为了对漏洞理解更深入，也是为以后挖掘通用漏洞作铺垫，提升代码审计能力，积累更多的知识。

一、FastJson

       FastJson是阿里巴巴开源的Java对象和JSON格式字符串的快速转换的工具库，对标Google的Gson。

优点：

• 速度快
• 使用广泛
• 使用简单

二、FastJson使用

1.maven工程直接引用jar

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>版本根据自己需要</version>
</dependency>

三、漏洞环境搭建

1.Idea新建maven工程的文件结构

2.pom.xml引入fastjson1.2.24jar包

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>org.fastjson</groupId>
    <artifactId>fastajson</artifactId>
    <version>1.0-SNAPSHOT</version>

    <dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.24</version>
        </dependency>
    </dependencies>

    <properties>
        <maven.compiler.source>8</maven.compiler.source>
        <maven.compiler.target>8</maven.compiler.target>
    </properties>

</project>

3.新建Person类

先在Java目录下新建包com.trancers.test，然后在包中新建Person类

package com.trancers.test;

import java.io.IOException;

public class Person {
    
    private String name;
    private Integer age;


    public String getName() {
    
        System.out.println("call getname");
        return name;
    }

    public void setName(String name) throws IOException {
    
        System.out.println("call setname");
        Runtime.getRuntime().exec(name);
        this.name = name;
    }

    public Integer getAge() {
    
        System.out.println("call getage");
        return age;
    }

    public void setAge(Integer age) {
    
        System.out.println("call setage");
        this.age = age;
    }
}

3.新建主函数TestMain

1. 构造简单的payload，下面看一下调用过程

package com.trancers.test;
import com.alibaba.fastjson.JSONObject;


public class TestMain {
    
    public static void main(String[] args) {
    
        String str = "{\"@type\":\"com.trancers.test.Person\",\"age\":20,\"name\":\"calc\"}";

        Object obj1 = JSONObject.parse(str);
        System.out.println(obj1);
    }
}

2. 首先进入JONObject类调用parse方法

3. 调用静态parse同名方法传入test和DEFAULT_PARSER_FEATURE两个参数

4. DEFAULT_PARSER_FEATURE在加载JSON类同时加载静态代码块计算出数值989

5. 创建一个DefaultJSONParser对象将JSONToken.LBRACE赋值给((JSONLexerBase) lexer).token

6. 看一下parser属性包含哪些，然后调用parse方法

7. 方法里做了一个判断之前在上个方法中已经赋值lexer.token所以会走到LBRACE

8. 创建了一个hashmap对象

9. 调用parseObject方法

10. 做词法分析取出key值，及key对应value值

11. 因为@type走进了这个判断里，执行了类反射，@type值又是包的路径所以根据com.trancers.test.Person直接去加载类

12. 然后进行序列化操作，取出类的所有属性，以及传入的text进行匹配，类的属性名与key值相同进行赋值。

四、总结

简单分析一下fastjson反序列化漏洞的成因、调用过程和触发点。

鸿鸟只思羽翼齐 点翅飞腾千万里

``