fastjson反序列化漏洞研究（上）

前言

最近护网期间，又听说fastjson传出“0day”，但网上并没有预警，在github上fastjson库中也有人提问关于fastjson反序列化漏洞的详情。也有人说是可能出现了新的绕过方式。不管怎样这都激起了我研究该漏洞的欲望，以前也研究过java的反序列化漏洞，但是没有具体研究过fastjson这个，借此机会好好分析下这个洞。

正文

fastjson主要功能就是实现对象和json字符串相互进行转换，这样方便传输。先简单了解下fastjson的用法，如下图所示，一般通过JSONObject.toJSONString()将对象序列化为json字符串（注意，这个和以往所说的java序列化是有些不一样的，平时所说的java序列化是序列化为字节流，也就是一段乱码，通常在http中传输还会base64编码下，编码前十六进制是以aced0005开头，base64编码后是以rO0AB开头，黑盒测试中可以通过这个来挖掘java的反序列化漏洞，这是题外话了。）

一般开发者就用第一种方法输出json字符串，这里测试代码中估计将第二种方法写出来，是想告诉大家fastjson可以识别json中的一些特殊的属性，比如说如果json字符串中某个key是“@type”，它就认为该key对应的value用于指定该json字符串对应对象的类型。

之后可以再通过JSONObject.parseObject()、JSON.parse()、JSON.parseObject()等方法将json字符串反序列化为对象，大同小异，fastjson的反序列化漏洞就是存在于JSONObject.parseObject()，所以以它为例进行讲解。以如下图：

既然必须指定对象类型，但是实际开发中大多数时候是并不知道对象类型的，这样怎么办呢？通常开发者会将对象类型设置为Object.class，毕竟java中所有类都是Object的子类。那这样又会出现一个问题，既然所有类都是Object的子类，fastjson如何知道反序列化对象的类型是什么呢？

这就是我们第一张图中的代码为什么会打印两种json字符串出来，fastjson可以通过识别“@type”对应的value来指定对象类型。这也是为什么第二张图中的代码运行后，通过JSONObject.parseObject(json, Object.class)反序列化时，带有“@type”的json字符串能成功反序列化为User对象，而不带“@type”的json字符串则不能成功反序列化。

而fastjson的反序列化漏洞就出现在这里，当json字符串可控时(实际常见中就是我们经常抓包会在请求中看到一些json字符串，而我们是可以随意修改这些字符串的，这就是可控)，我们可以反序列化出任意对象，且fastjson返序列化时会调用User.class中属性的getter和setter方法，如下图我们可以看到，反序列化后的对象属性是有值的