fastjson 反序列化漏洞 POC 分析

fastjson 是阿里巴巴开源的，使用Java语言编写的 JSON 解析库，项目地址是 https://github.com/alibaba/fastjson，以速度快、性能高著称，使用范围非常广。

在2017年3月15日，Fastjson官方主动爆出Fastjson在1.2.24及之前版本存在远程代码执行高危安全漏洞。本文对这个漏洞的POC进行分析。

零、Fastjson反序列化的特点

先创建一个实体类User，其中包括：

• public元素name

• private元素age和它的setter函数

• private元素prop和它的getter函数

• private元素grade和它的getter函数

接下来使用JSON.parseObject()，用指定类型的方式将这个类反序列化出来。

运行结果是：

从结果上看，我们可以得出以下结论：

• User 对象的无参构造函数被调用

• public String name 被成功的反序列化

• private int age 被成功的反序列化，它的 setter 函数被调用

• private Properties prop 被成功的反序列化，它的 getter 函数被调用

• private String grade 没有被反序列化，仍然是默认值 null，getter 函数也没有被调用

前三点都自然，奇怪的是后两点。prop 和 grade 同样是 private 类型，同样提供了 getter 函数没有提供 setter 函数，为什么 prop 可以通过 getter 函数来反序列化，而 grade 却没有？

这涉及到 fastjson 的一个特殊处理。对于只有 getter 函数，没有 setter 函数的 private 元素，fastjson会按如下条件判断反序列化的时候是否调用其 getter 函数。

• 函数名称大于等于 4

• 非静态函数

• 函数名称以get起始，且第四个字符为大写字母

• 函数没有入参

• 函数的返回类型满足如下之一

• 继承自Collection

• 继承自Map

• 是AtomicBoolean

• 是AtomicInteger

• 是AtomicLong

回到前面的问题。prop 的 getter 函数 getProp() 满足上面的条件，它的返回类型 Properties 继承自 Map ，因此可以成功的被调用。而 grade 的 getter 函数 getGrade() 的返回类型 String 不满足返回类型的那个条件，因此没有被调用，grade 也无法被赋值。

那么，在反序列化的时候，向 grade 这样无法通过 setter 或 getter 函数进行赋值的 private 元素，有什么方法可以赋值呢？有。就是使用 FEATURE.SupportNonPublicField。

在 JSON.parseObject() 中使用 fastjson 的标签 FEATURE.SupportNonPublicField：

执行结果是：

grade已经成功被反序列化，此时 grade 的 getter 函数 getGrade() 并没有被调用。

FEATURE.SupportNonPublicField 从 fastjson 的 1.2.22 版本开始引入。

还有个疑问：上面的 App.java 中，json string 中使用 @type 标签指定了反序列化的目标类型为com.xiang.fastjson.poc.User，在调用 JSON.parseObject() 时也指定了目标类型是 User.class。那如果这两个类型不一致，会发生什么？

需要说明的是，只要 JSON.parseObject() 的第二个参数中指定的类，与 json string 中 @type 指定的类之间存在继承或转换关系，那么这个反序列化就会成功执行。比如把 JSON.parseObject() 的第二个参数设为 Object.class（也就是所有类的基类），那么反序列化就不会因为类型不匹配而失败。如果把第二个参数设为 String.class，那么所有支持 toString() 方法的类同样可以序列化成功。

但是如果两个类之间没有关联关系，那么反序列化的时候，是会直接返回错误拒绝反序列化，还是将对象反序列化完成再进行类型转换呢？

这个答案是：不确定。比如，我们修改App.java，将 JSON.parseObject() 的第二个参数换成 Integer.class，json string中仍然保持 com.xiang.fastjson.poc.User。

执行结果是：

从结果看，fastjson 先按照 json string 中的 @type 将对象反序列化出来，然后再转换为 JSON.parseObject() 中指定的目标类型。即便两个类型不一致，json string 指定的对象对应的 getter 和 setter 函数也一样会被调用。

再换一下，把 JSON.parseObject() 的第二个参数换成 ASMUtils.class。

执行结果是：

这一次的结果上，fastjson 却首先检查了两个类型是否匹配，不匹配直接抛出异常，没有调用各个字段的方法进行反序列化操作。

fastjson 内置了一些常用类的反序列化处理类，这些常用类的列表在 ParseConfig 中可以看到。

其中有一些处理类中（比如Integer、BigInteger等）没有检查类型是否匹配，就直接进行反序列化处理；还有一些没有进行检查，但是反序列化过程会因为语法错误而失败。而对于大多数不属于这些常用类的目标类型，fastjson 是会进行检查不同类型之间的关联关系的（如上面的ASMUtils）。

好吧，这一部分太晕了。有没有更简单一些的用法，不用考虑这些匹配原则？有，就是 JSON.parse()。

执行结果是：

同样也支持 Feature.SupportNonPublicField 设置。

执行结果是：

可以看到，JSON.parse()，完全是按照 json string 中指定的类进行反序列化，不用考虑指定目标类的情况，因此可能是更广泛的用法。不过少了一次类型检查，也会引入更多的安全风险。

一、TemplatesImpl POC分析

首先是 TemplatesImpl 的 POC，来自于 廖神（http://xxlegend.com/2017/04/29/title-%20fastjson%20%E8%BF%9C%E7%A8%8B%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96poc%E7%9A%84%E6%9E%84%E9%80%A0%E5%92%8C%E5%88%86%E6%9E%90/）。

这个 POC 的入口点在 TemplatesImpl 类中 getOutputPerpeties() 函数。由于 TemplatesImpl 的 private 元素 _outputProperties 只有 getter 没有 setter ，同时其 getter 函数的返回类型 Properties 又继承自 Map，因此这个 getter 函数 getOutputProperties() 满足前面说的调用条件，可以在 fastjson 反序列化 TemplatesImpl 时被调用到 。POC 的调用链是：

getOutputProperties() -> newTransformer() -> getTransletInstance() -> defineTransletClasses() 

POC 代码如下：

执行之后成功弹出计算器：

上面的POC中，Exploit类继承自 AbstractTranslet。如果不想继承也可以，只要在 json string 中，_outputProperties 之前增加 _transletIndex 和 _auxClasses 的设置就好了。

执行之后同样弹出计算器：

TemplatesImpl 的 POC，在利用的时候有几个限制：

1. 由于 POC 中关键元素 _bytecode 没有对应的 public 的 getter 和 setter 函数，因此需要服务器上解析 json 的时候，不管是使用 JSON.parse() 还是使用 JSON.parseObject()，都需要设置 Feature.SupportNonPublicField 。

2. Feature.SupportNonPublicField 是在 1.2.22 版本引入，而这个漏洞在 1.2.25 版本就被封堵。这就要求目的服务器上的 fastjson 版本必须在 1.2.22 到 1.2.24 之间。

3. 如果目的服务器使用的是 JSON.parseObject()，那么第二个参数必须是和TemplatesImpl不冲突的类，比如 Object.class，String.class，Integer.class 等。

二、JdbcRowSetImpl POC分析

JdbcRowSetImpl 的 POC 同样来自 廖神（http://xxlegend.com/2017/12/06/%E5%9F%BA%E4%BA%8EJdbcRowSetImpl%E7%9A%84Fastjson%20RCE%20PoC%E6%9E%84%E9%80%A0%E4%B8%8E%E5%88%86%E6%9E%90/）。

JdbcRowSetImpl 的调用入口在 setAutoCommit() ，调用链很短： 

setAutoCommit() -> connect() -> InitialContext.lookup()

需要设置的属性只有 dataSourceName 和 autoCommit 两个。由于它们的 setter 函数 setDataSourceName() 和 setAutoCommit() 都是 public 类型，因此这里 不需要设置 SupportNonPublicField 属性 ，可以直接触发。

POC代码为

搭建好 RMI 的环境之后，执行 POC ，成功弹出计算器。

JdbcRowSetImpl 的 POC，使用限制为：

1. fastjson 的版本范围为 1.2.24 及以下的所有版本。

2. 如果目的服务器使用的是 JSON.parseObject()，那么第二个参数必须是和 JdbcRowSetImpl 不冲突的类，比如 Object.class，String.class，Integer.class 等。

三、fastjson的修复

反序列化漏洞的修补，通常都是通过白名单或黑名单的形式，禁止具有恶意功能的类进行反序列化。fastjson 使用的是黑名单的方式，具体而言就是从 1.2.25 版本开始，fastjson 增加了两个处理：

1. autotype 功能默认关闭，同时提供手动 enable_autotype 的设置。

2. 默认开启了黑名单，危险类所在的包不允许进行反序列化。

我们将 fastjson 升级到最新的 1.2.41 版本，再执行上面 JdbcRowSetImpl 的 POC，结果是直接抛了异常：

查看抛异常的地方，是被denyList拦截了。

查看denyList的定义，可以找到目前定义的黑名单列表。

• bsh

• com.mchange

• com.sun.

• java.lang.Thread

• java.net.Socket

• java.rmi

• javax.xml

• org.apache.bcel

• org.apache.commons.beanutils

• org.apache.commons.collections.Transformer

• org.apache.commons.collections.functors

• org.apache.commons.collections4.comparators

• org.apache.commons.fileupload

• org.apache.myfaces.context.servlet

• org.apache.tomcat

• org.apache.wicket.util

• org.apache.xalan

• org.codehaus.groovy.runtime

• org.hibernate

• org.jboss

• org.mozilla.javascript

• org.python.core

• org.springframework

com.sum.rowset.JdbcRowSetImpl 正好符合其中的 com.sun. 这个黑名单前缀，因此被屏蔽。