fastjson1.2.24漏洞分析及源码分析

时间:2024-04-09 22:40:46

近期出现fastjson的远程代码执行漏洞,fastjson国内知名度很高的json库,趁这个机会学习下,与大家分享下漏洞原因,fastjson反序列化流程。
远程代码执行漏洞

反序列原理
1 通过入参类型,生成反序列化器。
2 反序列化器调用入参类型的无参构造函数,创建对象。

3 解析序列化字符串,取出Key,Value值,调用相应的setKey(Value)方法。
这个漏洞主要是fastjson的一个 autotype 功能。下面代码是一个简单例子。

public class MyTest4AutoType {
    public static String userStr2="{\"@type\":\"com.mogujie.zhaoyun.mytest.User\",\"age\":12,\"birthday\":1493295579866,\"name\":\"myname\"}";

    public static void main(String[] args){
        User user2 = (User) JSON.parse(userStr2);
        System.err.println(user2.getName());
    }
}


这面是fastjson的一个黑科技,json字符串里增加一个特殊K,V值。key 固定为@type,value为此json字符串要反序列化的类全路径。这样就能通过入参,控制json字符串反序列化生成的对象。
下面这块就是fastjson(1.2.24)的代码

                if (key == JSON.DEFAULT_TYPE_KEY && !lexer.isEnabled(Feature.DisableSpecialKeyDetect)) {
                    String typeName = lexer.scanSymbol(symbolTable, '"');
                    Class<?> clazz = TypeUtils.loadClass(typeName, config.getDefaultClassLoader());

                    if (clazz == null) {
                        object.put(JSON.DEFAULT_TYPE_KEY, typeName);
                        continue;
                    }



Class<?> clazz = TypeUtils.loadClass(typeName, config.getDefaultClassLoader());typeName就是入参的类的全路径
上面的方法就是获得这个自定义类,安全漏洞就在这里。原因就是,这个方法没做任何类名的安全校验,也没有白名单机制。
通过前面反序列化原理知道,应用会执行自定义类的set方法赋值。loadClass这个方法没做任何过滤,也就是说可以传入任何jvm加载过的类,并执行setKey方法,Key也是传入的,可变的。
剩下的就是寻找符合以下条件的类:
1,JVM加载过的类;
2,有非静态set方法;
3,入参只有一个。
假如寻找到赋值后改变的是类变量的Class,那就能肆意妄为了。
上面的demo稍加改动,就变成下面的了,虽然后抛出异常,但是ClassLoader.setDefaultAssertionStatus仍然后执行。

public class MyTest4AutoType {
        public static String userStr2="{\"@type\":\"com.alibaba.fastjson.util.ASMClassLoader\",\"defaultAssertionStatus\":true}";
    public static void main(String[] args){
        User user2 = (User) JSON.parse(userStr2);
        System.err.println(user2.getName());
    }
}


1.2.24之后的版本都修复了这个漏洞,如果代码不做任何修改,自定义类的反序列化都会失败。解决方案就是增加白名单配置,例如 ParserConfig.global.addAccept("com.alibaba"),所有以com.alibaba开始的类都能反序列化了。fastjson还有黑名单配置功能,例如 ParserConfig.global.addDeny("javax.swing"),所有javax.swing开始的类都不反序列化。无论黑名单还是白名单,都是全局配置,可以统一控制fastjson。

反序列化解析

fastjson1.2.24漏洞分析及源码分析
反序列化核心方法:com.alibaba.fastjson.JSON#parseObject(java.lang.String, java.lang.reflect.Type, com.alibaba.fastjson.parser.ParserConfig, com.alibaba.fastjson.parser.deserializer.ParseProcess, int, com.alibaba.fastjson.parser.Feature...);我们以这个方法为入口开始观察反序列化过程。

 

1,DefaultJSONParser parser = new DefaultJSONParser(input, config,featureValues);

DefaultJSONParser 是反序列化的核心类,是外观模式,包括配置(ParserConfig)、反序列化实现(ObjectDeserializer)、词法解析(JSONLexer)等功能组合在一起,依赖关系可以看下上面的类图。

DefaultJSONParser通过json字符串(input),反序列化全局配置(config),反序列化实例特征配置(featureValues)。这个实例创建好后,反序列化的基础就准备好了。

ParserConfig 全局唯一的反序列化配置,包括反序列化黑名单(denyList),反序列化白名单(acceptList),是否启用asm(asmEnable),反序列化实现类缓存集合(deserializers),常见关键字缓存(SymbolTable)。这个对象是单例的,包括两大部分:系统默认和自定义。asmEnable就是系统默认,程序加载时候会判断系统是否符合启动ams条件,并赋值。acceptList是自定义的,可以根据不同的业务系统配置不同的白名单。

 

2,T value = (T) parser.parseObject(clazz, null);

这行是反序列化的执行方法,反序列化所有的代码都在这里,分析几个关键代码。

 

2-1,ObjectDeserializer derializer = config.getDeserializer(type);

这个方法是根据入参类型获得反序列化器,每一个基本类型都有一个对应的反序列化器,如NumberDeserializer等,这些都会初始化并储存到deserializers里。自定义类会利用asm或反射生成,并存储到deserializers里,第二次相同的类型反序列化就不会重复创建,直接从deserializers获得。这种设计有两个优势,一是空间换时间,所有反序列化器都缓存起来。二是每一种类型都对应一种反序列化器,代码清晰,优化更有针对性。

 

2-2,ASMDeserializerFactory.createJavaBeanDeserializer(ParserConfig config, JavaBeanInfo beanInfo);

这个方法就是根据入参类型利用asm生成反序列化器,作者直接将asm核心代码迁移到fastjon里,所以fastjson不需要额外依赖asm库。

    使用ASM条件:

  • 非Android系统
  • 该类及其除Object之外的所有父类为是public的
  • 泛型参数非空
  • 非asmFactory加载器之外的加载器加载的类
  • 非接口类
  • 类的setter函数不大于200
  • 类有默认构造函数
  • 类不能含有仅有getter的filed
  • 类不能含有非public的field
  • 类不能含有非静态的成员类
  • 类本身不是非静态的成员类
假如不满足以上条件,fastjson会使用反射生成反序列化器:JavaBeanDeserializer(ParserConfig config, Class<?> clazz, Type type),性能低。
2-3,derializer.deserialze(this, type, fieldName);
反序列化生成对象。json字符串解析器,包括 JSONLexer,JSONLexerBase,JSONReaderScanner,JSONScanner,JSONToken。这块是反序列化性能优化的重点,fastjson中token是用于标识当前在解析过程中解析到的对象的一个标记,具体的值参考 JSONToken。这块使用了基于预测的优化算法,这块就是利用JSON的标准结构猜测字符会是什么样,提高判断效率。如:key的token后最有可能是":",":"之后可能是value的token或为"{"的token或为"["的token等等,从而可以根据前一个token预判下一个token的可能,减少重复判断。

3,return (T) value; 

 

整个反序列化流程就结束了,大家有兴趣的可以自己看看,有很多细节值得大家发现。

 

序列化解析

序列化类图

fastjson1.2.24漏洞分析及源码分析
 
 

反序列化核心方法:com.alibaba.fastjson.JSON#toJSONString(java.lang.Object, com.alibaba.fastjson.serializer.SerializeConfig, com.alibaba.fastjson.serializer.SerializeFilter[], java.lang.String, int, com.alibaba.fastjson.serializer.SerializerFeature...);我们以这个方法为入口开始观察序列化过程,这块因为很多和反序列化的处理方法,设计都是一样的,整体简单描述下。

1,SerializeWriter out = new SerializeWriter(null, defaultFeatures, features);

SerializeWriter继承Writer,能够完成高性能的字符串拼接,相比StringBuilder做了适合json字符串拼装的优化。out初始化包括:申请序列化字符串存储空间(buf),这个空间是申请后是不释放的,放在Threadlocal,避免重复申请带来的性能损耗。序列化特征配置features,包括默认的配置和实例自定义配置,如利用符号(')替代符号("),禁止循环引用,是否输出值为null的字段等,详细的可以看下com.alibaba.fastjson.serializer.SerializerFeature。这块fastjson是用按位或计算的。

2,JSONSerializer serializer = new JSONSerializer(out, config);

JSONSerializer是序列化的核心类,是外观模式,包括配置(SerializeConfig)、序列化实现(ObjectSerializer)、序列化输出(SerializeWriter)、过滤器(SerializeFilterable)等功能组合在一起,依赖关系可以看下上面的类图。 

SerializeConfig是全局唯一的,和ParserConfig功能结构基本一样。它继承自IdentityHashMap,IdentityHashMap是一个长度默认为1024的Hash桶,每个桶存放相同Hash的Entry(可看做链表节点,包含key、value、next指针、hash值)做成的单向链表,IdentityHashMap实现了HashMap的功能,但能避免HashMap并发时的死循环。  

serializers,存储的序列化器,设计和deserializers是一致的。

SerializeFilterable列表,可视为在生成json串的各阶段、各地方定制序列化,大致如下:

 

  • BeforeFilter :序列化时在最前面添加内容
  • AfterFilter :序列化时在最后面添加内容
  • PropertyFilter :根据PropertyName和PropertyValue来判断是否序列化
  • ValueFilter :修改Value
  • NameFilter :修改key
  • PropertyPreFilter :根据PropertyName判断是否序列化

SerialContex 序列化上下文,在引用或循环引用中使用,该值会放入references的Hash桶(IdentityHashMap)缓存。

3,serializer.write(object);

这行是序列化的执行方法,列出几个关键代码。

3-1,ObjectSerializer writer = getObjectWriter(clazz);

这个方法是根据入参类型获得序列化器,整体和反序列化器的生成一致,很多代码结构都是一样的。

3-2,writer.write(this, object, null, null, 0);

每个类型的序列化器都会实现com.alibaba.fastjson.serializer.ObjectSerializer#write。各自实现自己的拼装json字符串逻辑

4,out.toString();

返回json字符串。

 

 参照:http://www.csdn.net/article/2014-09-25/2821866