1.漏洞信息

1.1 漏洞简介

• 漏洞名称：Fastjson 1.2.24远程代码执行漏洞（com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl）
• 漏洞编号：无
• 漏洞类型：远程代码执行
• CVSS评分：无
• 漏洞危害等级：高危

1.2 组件概述

Fastjson是一个Java语言编写的高性能功能完善的JSON库。它采用一种“假定有序快速匹配”的算法，把JSON Parse的性能提升到极致，是目前Java语言中最快的JSON库。Fastjson接口简单易用，已经被广泛使用在缓存序列化、协议交互、Web输出、Android客户端等多种应用场景。下图是Fastjson组件中的反序列化流程。

1.3 漏洞概述

漏洞是利用fastjson autotype在处理json对象的时候，未对@type字段进行完全的安全性验证，攻击者可以传入危险类，服务器接收到危险类执行其中恶意代码。攻击者通过这种方式可以实现远程代码执行漏洞的利用，获取服务器的敏感信息泄露，甚至可以利用此漏洞进一步对服务器数据进行修改，增加，删除等操作，对服务器造成巨大的影响。

1.4 漏洞利用条件

• 无

1.5 漏洞影响

影响版本：
Fastjson < 1.2.25

1.6 漏洞修复

获取Fastjson最新版本，下载链接：https://github.com/alibaba/fastjson

2.漏洞复现

2.1 环境拓扑

2.2 应用协议

8080/HTTP

2.3 复现过程

基于Windows平台，使用环境目录下的fastjsondemo环境，拷贝后使用Idea打开fastjsondemo文件夹，下载maven资源，运行DemoApplication类，即可启动环境。效果如图。

 

运行sniper工具箱，填写表单信息，点击Attack，效果如图。

3.漏洞分析

3.1 技术背景

JavaBean:

 

JavaBean 是特殊的 Java 类，使用 Java 语言书写，并且遵守 JavaBean API 规范。JavaBean的特征：

• 提供一个默认的无参构造函数。
• 需要被序列化并且实现了 Serializable 接口。
• 可能有一系列可读写属性。
• 可能有一系列的 getter 或 setter 方法。

方法	描述
getPropertyName()	举例来说，如果属性的名称为 myName，那么这个方法的名字就要写成 getMyName() 来读取这个属性。这个方法也称为访问器。
setPropertyName()	举例来说，如果属性的名称为 myName，那么这个方法的名字就要写成 setMyName()来写入这个属性。这个方法也称为写入器。

 

程序实例

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

public class StudentsBean implements java.io.Serializable {    private String firstName = null;    private String lastName = null;    private int age = 0;      public StudentsBean() {    }    public String getFirstName(){       return firstName;    }    public String getLastName(){       return lastName;    }    public int getAge(){       return age;    }      public void setFirstName(String firstName){       this.firstName = firstName;    }    public void setLastName(String lastName){       this.lastName = lastName;    }    public void setAge(int age) {       this.age = age;    } }

3.2 详细分析

3.2.1 代码分析

Fastjson通过parseObject方法解析传入的json数据。

 

调用DefaultJSONParser缺省方法对json格式数据进行解析。

 

在方法的参数中，调用ParserConfig.getGlobalInstance()方法获取ParserConfig类中的初始配置，其中黑名单(denyList)也在此类中进行配置。

 

调用addDeny方法循环添加denyList数组中的黑名单。

 

回到DefaultJSONParser方法，初始化结束后，调用JSONScanner方法对传入的json字符串设置读取位置，判断过程中处理Unicode字符集的BOM标识。

 

回到DefaultJSONParser方法，为token赋值。

 

回到JSON入口类，获取到DefaultJSONParser类型对象，调用parse()方法进行解析。

 

在parse方法中，通过判断lexer.token()，进入对应的代码块。

 

调用JSONObject构造方法，初始化JSONObject类中的map属性。

 

回到DefaultJSONParser#parse方法，调用parseObject方法，对传入的json数据进行字节读取。

 

一般会读取json字符串中的双引号进入scanSymbol方法中，在scanSymbol方法中计算字符串的hash。

 

调用addSymbol方法，将键名添加到SymbolTable中。

 

回到DefaultJSONParser#parseObject方法中，判断key值是否为@type。如果是，则进入if判断条件下的代码块中。

 

调用scanSymbol方法，以双引号作为quote变量值，进行@typejson字段值的value读取。

 

获得@type的键值，调用addSymbol方法，将@type的字段值添加到SymbolTable中。

 

回到DefaultJSONParser#parseObject方法中，调用TypeUtils.loadClass方法进行类加载操作。

 

进入loadClass方法中，首先会在现有的mappings中寻找从@type传入的classname。

 

如果在原有的mappings中没有记录传入的classname，则调用contextClassLoader.loadClass获取AppClassLoader类加载器，并加载到mappings中与@type传入的类进行关联，最后返回clazz对象。

 

回到DefaultJSONParser#parseObject方法中，调用this.config.getDeserializer(clazz)获取反序列化器。

 

进入getDeserializer方法中，首先现有的IdentityHashMap中进行hash匹配，如果无法匹配，则进入第二个if判断条件中重载getDeserializer方法，继续获取反序列化器。

 

在getDeserializer(Class<?> clazz, Type type)方法中，首先依然会与现有的IdentityHashMap中进行hash匹配。如果无法匹配，会事先进行黑名单匹配，在调用ServiceLoader.load判断META-INF/services/下是否存在传入的classname类。

 

如果没有寻找到对应的类，则判断传入的classname是否是继承java.lang.Enum、是否是array类型选择对应的反序列化器生成方法。如果上述条件不满足，则继续判断传入的classname是否为Set、HashSet、Collection、List、ArrayList，如果不是则继续判断classname是否继承Collection，Map，Throwable接口。如果上述条件都不满足，则调用createJavaBeanDeserializer方法生成JavaBean反序列化器。

 

进入createJavaBeanDeserializer方法，判断asmEnable是否为true，调用JavaBeanInfo.build方法建立JavaBean。

 

建立JavaBean过程中，通过反射机制获取传入的class中所有的属性，方法，并保存在数组中。选择一个无参构造函数作为默认的构造函数。

 

循环遍历method数组中的方法，并从中选取符合条件的方法。（条件：同时满足方法名长度大于4；非静态方法；方法类型为Void。或者方法类型与方法所在类相同）

 

再从筛选的规则中继续筛选出形参数量为1的方法。

 

再从筛选出的方法中获取以set方法开头的方法，并检测JavaBean的方法命名规范，筛选出符合规范的方法。调用TypeUtils.getField方法获取与set方法对应的属性值。

 

进入getField方法中，遍历@type传入的class以及其父类的所有属性值，返回寻找到属性。

 

最终调用add方法，将获取的Field属性保存到fieldList列表中。

 

再以相同的流程筛选出存在get方法的属性值，如果筛选出的filed属性值不在fieldList，则添加到fieldList列表中。

 

调用JavaBeanInfo方法对JavaBeanInfo中的属性进行初始化，并返回实例化对象。

 

回到ParserConfig#createJavaBeanDeserializer方法中，获取到beanInfo对象，并从beaninfo中取出defaultConstructor默认构造器、field属性。

 

通过检测fieldClass属性值，为asmEnable标志位赋值

 

由于@type传入的class中的javabean方法，存在只读属性，因此asmEnable标志位变成false。

 

根据asmEnable标志位，进行if条件判断，调用JavaBeanDeserializer构造方法，并返回实例化对象。

 

在实例化过程中，会将beaninfo中的属性赋值给JavaBeanDeserializer类中的filed反序列化器。

 

回到ParserConfig#getDeserializer方法，调用putDeserializer方法，将生成的反序列化器与@type传入的class类进行关联，最后返回反序列化器

 

回到DefaultJSONParser#parseObject方法，调用deserializer.deserialze方法进行反序列化。

 

进入deserialze方法中，首先根据token值进入到对应的条件代码块。调用scanSymbol方法。

 

进入scanSymbol方法，对传入的json字符串进行解析，和解析@type的流程相同，解析传入的其他属性字段。

 

回到JavaBeanDeserializer#deserialze方法中，解析的属性值返回并赋值到key属性中。

 

调用parseField方法解析属性。

 

进入parseField方法，调用smartMatch方法，获取field反序列化器。

 

进入smartMatch方法，首先会从建立的javabean中寻找是否存在对应key中属性值的操作方法。

 

如果没有匹配到javabean中的方法，则先消除掉属性值中的_和-符号，再与javabean中的方法进行匹配，如果匹配成功，则返回反序列化器。如果匹配失败，则返回null。

 

回到parseField方法中，设置Feature.SupportNonPublicField状态，并根据状态值进入if条件判断的代码块中，生成extraFieldDeserializers扩展的反序列化器。再从反序列化器中取出从fastjson获取的json数据中指定的属性。

 

调用parseField方法，按照获取deserializer反序列化器的流程，获取fieldValueDeserilizer反序列化器。得到的fieldValueDeserilizer反序列化器，在parseField方法中调用deserialze方法进行反序列化。

 

由于传入的参数中存在数组，fastjson首先会调用getFastMatchToken方法，获取当前json字符串位置的token标志值。

 

由于json字符串中的数组是以[data]的形式传入的，所以当检测属性值是以[开头，则为token赋值为14。

 

由于是数组类型，因此在获取反序列化器时，会进入ObjectArrayCodec类进行解析。

 

调用ObjectArrayCodec#parseArray方法，进行数组的解析。

 

根据数组中的元素类型，进行token赋值，再依据token，选择对应token值，进入对应的if代码块。

 

解析数组中元素时，如果元素时String类型，则将字符串按照byte类型进行读取，在读取的过程中，会先进行base64解码。

 

最终以]符号作为数组结束符。

 

回到ObjectArrayCodec#deserialze方法中，调用toObjectArray方法，将传入的数组数据，转换成数组对象。

 

回到DefaultDeserializer#parseField方法中，调用setValue方法，将获取的数组对象，赋予到@type class中的对应属性中。

 

在解析最后一个_outputProperties参数时，会在setValue方法中进行反射，调用getOutputProperties方法。

 

此方法会在调用的过程中，实例化从bytecode传入恶意class文件，从而实现攻击。

3.2.2补丁分析

Fastjson1.2.25版本新增了checkAutoType方法，设置了autotype开关，对@type字段进行限制。如果autotype开关关闭，则无法从@type字段传入类进行jndi攻击。

 

增加了黑名单中的类，对fastjson的gadget进行拦截。

4.防御方案

【深信服下一代防火墙】可轻松防御此漏洞， 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险。

5.参考链接

1.https://www.runoob.com/jsp/jsp-javabean.html
2.http://xxlegend.com/2018/10/23/%E5%9F%BA%E4%BA%8EJdbcRowSetImpl%E7%9A%84Fastjson%20RCE%20PoC%E6%9E%84%E9%80%A0%E4%B8%8E%E5%88%86%E6%9E%90/
3.https://github.com/alibaba/fastjson/compare/1.2.24...1.2.25