ToB企服应用市场:ToB评测及商务社交产业平台

标题: fastjson 1.2.24 反序列化漏洞（审计分析） [打印本页]

作者: 民工心事 时间: 2023-4-14 18:05
标题: fastjson 1.2.24 反序列化漏洞（审计分析）
环境
JDK 8u181
Fastjson 1.2.24

POC

跟进 parse 方法

跟进到底层deserialze 方法
Poc 中传入的 dataSourceName : ldap://192.168.3.229:8084/vnSYPYwMs 值
这里实际对应 setDataSourceName 方法，调用此方法并传入 ldap

跟进 setDataSourceName 方法，这里只是简单赋值

步出回此方法

继续步出，进入parseRest方法

跟进 deserialze 方法

继续跟进 setValue 方法

此处通过 invoke 反射实现方法
POC 传入的 autoCommit : true 对应
setAutoCommit 方法

跟进 connect 方法

此处通过 lookup 实现 ldap 请求

检测到 LDAP 请求

如果是LDAP请求，需要JDK版本

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)