酷应用

处置手册 | fastjson远程代码执行漏洞

百家作者：绿盟科技 2019-07-12 09:42:42

漏洞介绍

近日， fastjson出现高危远程代码执行漏洞，该漏洞是fastjson于2017年爆出的远程代码执行漏洞新的绕过利用方式，攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。目前PoC已公开。

fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean，由于具有执行效率高的特点，应用范围广泛。请相关用户尽快升级至1.2.58版本，以确保对此漏洞的防护。?

影响范围

受影响版本

fastjson < = 1.2.47

不受影响版本

fastjson > = 1.2.48，官方建议升级到1.2.51或最新版本 1.2.58。

漏洞防护?

阿里官方已经发布公告，建议受影响的用户立刻升级到1.2.51/1.2.58 版本，下载地址如下：

http://repo1.maven.org/maven2/com/alibaba/fastjson/1.2.58/

升级步骤如下：

1、备份原fastjson依赖库，避免升级失败的情况发生。

2、将低版本的fastjson库替换为1.2.58版本即可

开发人员可通过配置Maven的方式对应用进行升级并编译发布，配置如下:

??? ? com.alibaba

??? ? fastjson

??? 1.2.58

漏洞分析

补丁分析

在fastjson 1.2.51版本中，新增黑名单hash 8409640769019589119L，该hash对应的黑名单类即为java.lang.Class：

另外在TypeUtils#loadClass方法中也修改了默认的cache为false，因此也无法将指定类放入mapping中：

漏洞分析

本次漏洞是通过两部分json数据，利用java.lang.Class绕过第一次checkAutoType检查，并且把恶意类放在mapping中，在解析第二部分json数据时从mapping中获取相应类，从而绕过第二次checkAutoType检查，加载恶意类完成代码执行。

在com. alibaba. fastjson. parser. DefaultJSONParser#parseObject过程中，如果遇到@type，会取出值进行checkAutoType检查，在fastjson 1.2.25之后新增了黑名单类，常规com.sun.rowset.JdbcRowSetImpl无法通过检查，但是此处可以利用fastjson一个特性绕过黑名单检查。

注意到在checkAutoType中，检测到黑名单类同时满足getClassFromMapping为空，才会抛出异常，此处如果把恶意类放入mapping中便可绕过这个检测。回溯什么情况下会把类放入mapping

在DefaultJSONParser.parseObject中，

obj = deserializer.deserialze(this, clazz, fieldName);

跟进deserialze，可以看到如果传入的key为”val”，则把val的值赋值给strVal，随后对clazz进行一系列if判断，当clazz为class的情况，进入loadClass。

在loadClass中把clazz放入mapping。

随后通过clazz = TypeUtils.getClassFromMapping(typeName);从mapping获取clazz，如果clazz不为空则直接返回，不经过黑名单检查，同样也不检查autoTypeSupport，因此该漏洞无需开启autoTypeSupport。

因此如果解析"name":{"@type":"java.lang.Class","val":"com.sun.rowset.JdbcRowSetImpl"}的时候便会TypeUtils.loadClass加载val设置的类，并把该类放在一个mapping中，随后在解析第二部分json数据时，由于能够从getClassFromMapping获取到值从而绕过checkAutoType检查，达到加载任意类的目的。?

命令执行利用成功：