多次触发FastJson漏洞的AutoType机制，你了解吗？

一个反序列化问题

{
    "name":"",
    "error":{
        "@type":"xxx.xxx.ErrorType",
        "message":"xxxxx"
    }
}

从数据结构上看，这个json字符串并没有什么特殊性，就是一个普通的字符串而已。从内容上看，比较特殊的地方在于多了一个特殊的字段“@type”，经过测试，反序列化报错，的确是因为这个特殊的字段造成的(把@type字段去掉，反序列化可以正常进行)。

那么@type是什么鬼，为什么有了字段就会产生问题呢？

@type和AutoType

static class VehicleStore {
        private String name;
        private Vehicle vehicle;

       // 省略 setter/getter
    }

    interface Vehicle {
    }


    static class Car implements Vehicle {
        private BigDecimal price;
		// 省略 setter/getter
       
    }

@Test
    public void deserializer() {
        VehicleStore store = new VehicleStore();
        store.setName("vehicleStore");
        Car car = new Car();
        car.setPrice(new BigDecimal(5000000));
        store.setVehicle(car);
        String jsonString = JSON.toJSONString(store);
    }

{"name":"vehicleStore","vehicle":{"price":5000000}}

在这个反序列化后的字符串内容中，vehicle字段的内容是 {“price”:5000000} ，无论从内容上、还是结构上看，根本看不出 {“price”:5000000} 和类型Car，有什么关系，那么用这个json字符串，进行反序列化，如何反序列化出 VehicleStore，并且把字段vehicle指定为Car呢？

其实是不能的，如果直接用FastJson进行反序列化，反序列化出来的VehicleStore中vehicle字段是空(没有任何字段内容)。

JSON.toJSONString(xxxObj, SerializerFeature.WriteClassName);

{"@type":"com.test.FastJsonTest$VehicleStore","name":"vehicleStore","vehicle":{"@type":"com.test.FastJsonTest$Car","price":5000000}}

@Test
    public void deserializer() {
        VehicleStore store = new VehicleStore();
        store.setName("vehicleStore");
        Car car = new Car();
        car.setPrice(new BigDecimal(5000000));
        store.setVehicle(car);

        String jsonString = JSON.toJSONString(store, SerializerFeature.WriteClassName); 
        VehicleStore newStore = JSON.parseObject(jsonString, VehicleStore.class);
        Car car = (Car) newStore.getVehicle();
    }

问题解决

VehicleStore newStore1 = JSON.parseObject(jsonStr, VehicleStore.class, Feature.IgnoreAutoType);

public void setDataSourceName(String var1) throws SQLException {
        if (this.getDataSourceName() != null) {
            if (!this.getDataSourceName().equals(var1)) {
                super.setDataSourceName(var1);// 注入攻击rmi源
                this.conn = null;
                this.ps = null;
                this.rs = null;
            }
        } else {
            super.setDataSourceName(var1);
        }
    } 


private Connection connect() throws SQLException {
        if (this.conn != null) {
            return this.conn;
        } else if (this.getDataSourceName() != null) {
            try {
                InitialContext var1 = new InitialContext();
                DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());// 调用rmi方法
                return this.getUsername() != null && !this.getUsername().equals("") ? var2.getConnection(this.getUsername(), this.getPassword()) : var2.getConnection();
            } catch (NamingException var3) {
                throw new SQLException(this.resBundle.handleGetObject("jdbcrowsetimpl.connect").toString());
            }
        } else {
            return this.getUrl() != null ? DriverManager.getConnection(this.getUrl(), this.getUsername(), this.getPassword()) : null;
        }
    }

原文始发于微信公众号（小李哥编程）：多次触发FastJson漏洞的AutoType机制，你了解吗？