Blog Of SEVENTEEN

前言

这次来分析一下Fastjson低版本漏洞的成因以及利用。

影响范围

Fastjson <= 1.2.24

环境搭建

如果是用Maven部署完基础Spring环境后，还需要添加一个类用来修改json解析器，Spring内置默认是Jackson。

import com.alibaba.fastjson.serializer.SerializerFeature;
import com.alibaba.fastjson.support.config.FastJsonConfig;
import com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter;
import org.springframework.boot.autoconfigure.web.HttpMessageConverters;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.converter.HttpMessageConverter;

@Configuration
public class FastjsonConfig {
    @Bean
    public HttpMessageConverters fastJsonHttpMessageConverters() {

        FastJsonHttpMessageConverter fastConverter = new FastJsonHttpMessageConverter();

        FastJsonConfig fastJsonConfig = new FastJsonConfig();
        fastJsonConfig.setSerializerFeatures(SerializerFeature.PrettyFormat);

        fastConverter.setFastJsonConfig(fastJsonConfig);
        HttpMessageConverter<?> converter = fastConverter;
        return new HttpMessageConverters(converter);
    }
}

为了方便调试，这里直接调用Fastjson库来使用。

代码分析

写好payload后直接在JSON.parse(payload)打下断点。

跟进parse方法，在重载后的parse方法中先对text(即打过去的payload)进行判空，非空的话进入else实例化DefaultJSONParser方法。

这里调用DefaultJSONParser方法来解析json数据，对第一个字符进行判断后，确定是{给token赋值12。

返回之后调用parse方法根据token去解析json。

又调用了parseObject方法来解析类。

重点差不多从这里开始，前面大部分还是json解析的常规操作，这里结合token以及token后的字符做判断利用while循环做嵌套解析，之后进入if条件调用scanSymbol方法获取key，所以即将开始解析@type字段。

当第二次while循环走到上面的地方的时候，会开始给key赋值@type，所以会进入到这个if条件会调用TypeUtils.loadClass方法调用@type里的类名。按我的理解，这里之所以回去loadclass，是因为这个@type原先的功能就是用来指定json反序列化哪个类，不然的话，如果有两个类中有同名变量的话，会无法正确反序列化。