前言
最近护网期间,又听说fastjson传出“0day”,但网上并没有预警,在github上fastjson库中也有人提问关于fastjson反序列化漏洞的详情。也有人说是可能出现了新的绕过方式。不管怎样这都激起了我研究该漏洞的欲望,以前也研究过java的反序列化漏洞,但是没有具体研究过fastjson这个,借此机会好好分析下这个洞。
正文
fastjson主要功能就是实现对象和json字符串相互进行转换,这样方便传输。先简单了解下fastjson的用法,如下图所示,一般通过JSONObject.toJSONString()将对象序列化为json字符串(注意,这个和以往所说的java序列化是有些不一样的,平时所说的java序列化是序列化为字节流,也就是一段乱码,通常在http中传输还会base64编码下,编码前十六进制是以aced0005开头,base64编码后是以rO0AB开头,黑盒测试中可以通过这个来挖掘java的反序列化漏洞,这是题外话了。)
一般开发者就用第一种方法输出json字符串,这里测试代码中估计将第二种方法写出来,是想告诉大家fastjson可以识别json中的一些特殊的属性,比如说如果json字符串中某个key是“@type”,它就认为该key对应的value用于指定该json字符串对应对象的类型。
之后可以再通过JSONObject.parseObject()、JSON.parse()、JSON.parseObject()等方法将json字符串反序列化为对象,大同小异,fastjson的反序列化漏洞就是存在于JSONObject.parseObject(),所