fastjson 1.2.24 反序列化漏洞（审计分析）

环境
JDK 8u181
Fastjson 1.2.24

POC

跟进 parse 方法

跟进到底层deserialze 方法
Poc 中传入的 dataSourceName : ldap://192.168.3.229:8084/vnSYPYwMs 值
这里实际对应 setDataSourceName 方法，调用此方法并传入 ldap

跟进 setDataSourceName 方法，这里只是简单赋值
 
步出回此方法

继续步出，进入parseRest方法

跟进 deserialze 方法

 
 
 继续跟进 setValue 方法

此处通过 invoke 反射实现方法
POC 传入的 autoCommit : true 对应
setAutoCommit 方法

跟进 connect 方法

此处通过 lookup 实现 ldap 请求

检测到 LDAP 请求


如果是LDAP请求，需要JDK版本