JDK动态代理在反序列化链中的利用原理分析<\/h1>

一、动态代理基础概念<\/h2>
动态代理是Java提供的一种在运行时动态创建代理类和对象的技术，主要涉及以下核心类：<\/p>
java.lang.reflect.Proxy<\/code>：用于创建动态代理类和实例<\/li>
java.lang.reflect.InvocationHandler<\/code>：代理实例的调用处理器接口<\/li>
<\/ol>
在反序列化漏洞利用中，动态代理主要被用来：<\/p>

控制方法调用的行为<\/li>
拦截特定方法的调用<\/li>
返回精心构造的对象<\/li>
实现方法调用的分流处理<\/li>
<\/ul>
二、关键动态代理类分析<\/h2>
1. CompositeInvocationHandlerImpl<\/h3>
特性<\/strong>：<\/p>

JDK自带类<\/li>
能够根据不同的方法所属的类选择不同的InvocationHandler<\/li>
可以看作InvocationHandler的代理<\/li>
<\/ul>
核心作用<\/strong>：<\/p>

对Method方法调用进行分流处理<\/li>
维护一个classToInvocationHandler<\/code>映射表，存储不同类对应的InvocationHandler<\/li>
提供默认的defaultHandler<\/code>处理未被特殊代理的类<\/li>
<\/ul>
处理流程<\/strong>：<\/p>

获取待调用方法所属的类：method.getDeclaringClass()<\/code><\/li>
从classToInvocationHandler<\/code>中查找对应的InvocationHandler<\/li>
如果存在特殊代理的InvocationHandler，则将方法调用传递给它的invoke方法<\/li>
如果不存在且defaultHandler<\/code>存在，则交由默认Handler处理<\/li>
<\/ol>
2. AnnotationInvocationHandler<\/h3>
特性<\/strong>：<\/p>

JDK自带类<\/li>
常用于反序列化gadget<\/li>
可以指定方法返回特定的对象<\/li>
<\/ul>
核心作用<\/strong>：<\/p>

对特定Method方法的返回进行预定义<\/li>
避免某些方法调用导致的错误（如getCompositeType<\/code>调用抛异常）<\/li>
<\/ul>
实现原理<\/strong>：<\/p>

通过memberValues<\/code>属性存储预定义的方法名-返回值映射<\/li>
在invoke方法中，根据方法名从memberValues<\/code>中返回预定义的对象<\/li>
<\/ul>
限制<\/strong>：<\/p>

在JDK8u71-b12之后，无法再代理非注解的接口方法<\/li>
高版本中需要寻找替代方案<\/li>
<\/ul>
3. JdkDynamicAopProxy<\/h3>
来源<\/strong>：<\/p>

spring-aop依赖<\/li>
<\/ul>
核心作用<\/strong>：<\/p>

进行方法的反射调用<\/li>
从AdvisedSupport.targetSource<\/code>获取目标对象<\/li>
通过反射调用目标对象的方法<\/li>
<\/ul>
关键属性<\/strong>：<\/p>

advised<\/code>：保存AdvisedSupport<\/code>对象<\/li>
advised.targetSource<\/code>：包含恶意对象（如TemplateImpl）<\/li>
<\/ul>
4. AutowireUtils$ObjectFactoryDelegatingInvocationHandler<\/h3>
来源<\/strong>：<\/p>

spring-beans依赖<\/li>
<\/ul>
核心作用<\/strong>：<\/p>

进行方法的反射调用<\/li>
从objectFactory.getObject()<\/code>获取目标对象<\/li>
通过反射调用目标对象的方法<\/li>
<\/ul>
三、典型利用链分析<\/h2>
1. JSON1链<\/h3>
调用栈<\/strong>：<\/p>
...
<\/code><\/pre>
利用原理<\/strong>：<\/p>

在JSONObject中包裹cdsProxy<\/code>（CompositeData代理对象）<\/li>
通过Gadgets.createProxy<\/code>创建代理对象，使用CompositeInvocationHandlerImpl<\/code>作为InvocationHandler<\/li>
代理多个接口（如CompositeData<\/code>和TemplateImpl<\/code>）<\/li>
反序列化时触发所有代理类中的getter方法<\/li>
<\/ol>
关键处理<\/strong>：<\/p>

对于CompositeData.getCompositeType()<\/code>调用：

使用Gadgets.createMemoizedInvocationHandler<\/code>创建特殊InvocationHandler<\/li>
避免调用抛异常导致利用失败<\/li>
<\/ul>
<\/li>
对于其他类的getter方法：

使用JdkDynamicAopProxy<\/code>进行反射调用<\/li>
<\/ul>
<\/li>
<\/ul>
2. Spring1链<\/h3>
调用栈<\/strong>：<\/p>
...
<\/code><\/pre>
利用原理<\/strong>：<\/p>

入口在SerializableTypeWrapper$MethodInvokeTypeProvider.readObject<\/code><\/li>
创建AnnotationInvocationHandler<\/code>代理TypeProvider<\/code>接口<\/li>
调用getType<\/code>方法时返回另一个代理对象（ObjectFactoryDelegatingInvocationHandler<\/code>）<\/li>
该代理对象实现了Type<\/code>和Templates<\/code>接口<\/li>
反射调用newTransformer<\/code>时触发命令执行<\/li>
<\/ol>
关键步骤<\/strong>：<\/p>

第一个AnnotationInvocationHandler<\/code>：

代理TypeProvider<\/code>接口<\/li>
控制getType<\/code>方法返回ObjectFactoryDelegatingInvocationHandler<\/code>代理对象<\/li>
<\/ul>
<\/li>
ObjectFactoryDelegatingInvocationHandler<\/code>：

代理Type<\/code>和Templates<\/code>接口<\/li>
通过objectFactory.getObject()<\/code>获取恶意TemplateImpl对象<\/li>
<\/ul>
<\/li>
第二个AnnotationInvocationHandler<\/code>：

代理ObjectFactory<\/code>接口<\/li>
控制getObject<\/code>方法返回恶意TemplateImpl对象<\/li>
<\/ul>
<\/li>
<\/ol>
四、高版本绕过技术<\/h2>
在JDK8u71-b12之后，AnnotationInvocationHandler<\/code>无法代理非注解接口，需要替代方案：<\/p>

使用JdkDynamicAopProxy<\/code>代理CompositeData<\/code>接口的子类<\/li>
选择JDK自带的CompositeData<\/code>实现类：

javax.management.openmbean.CompositeDataSupport<\/code><\/li>
要求实现Serializable<\/code>接口<\/li>
<\/ul>
<\/li>
<\/ol>
五、防御建议<\/h2>

升级JDK到最新版本<\/li>
对反序列化操作进行严格限制<\/li>
使用白名单机制控制可反序列化的类<\/li>
对动态代理的使用进行监控和审计<\/li>
避免使用不安全的JSON处理库<\/li>
<\/ol>
六、总结<\/h2>
动态代理在反序列化利用链中扮演着关键角色，主要通过：<\/p>

方法调用的拦截和控制<\/li>
特定对象的构造和返回<\/li>
调用流程的分发和路由<\/li>
反射调用的最终触发<\/li>
<\/ol>
理解这些动态代理类的特性和交互方式，对于分析和防御反序列化漏洞至关重要。<\/p>