SOLON框架绕过Hessian黑名单利用分析<\/h1>

前言<\/h2>
本文详细分析SOLON框架中Hessian反序列化漏洞的绕过利用技术，特别关注如何绕过内置的黑名单防护机制。该技术在近期网络安全竞赛(如SU比赛和国赛)中多次出现，具有实际应用价值。<\/p>

环境分析<\/h2>

关键依赖<\/h3>

Fastjson<\/strong>: 提供JSON处理能力<\/li>
H2 Database<\/strong>: 嵌入式数据库，包含潜在的危险功能<\/li>

Hessian<\/strong>: 反序列化入口点<\/li> <\/ul>
反序列化入口<\/h3>
代码中提供了一个Hessian的反序列化入口点，这是漏洞利用的起点。<\/p>
防护机制分析<\/h2>
黑名单防护<\/h3>
框架内置了serialize.blacklist<\/code>防护机制，禁用了大量危险类：<\/p>
\/\/ 示例黑名单内容 <\/span><\/span><\/span><\/span>checkExec \/\/ 拦截命令执行相关类 <\/span><\/span><\/span><\/span>org.<\/span>h2<\/span>.<\/span>jdbcx<\/span>.*<\/span> \/\/ 禁用H2 JDBC相关类 <\/span><\/span><\/span><\/code><\/pre>toString触发点<\/h3> 观察发现反序列化过程中会触发toString<\/code>方法，这为绕过提供了可能性：<\/p> \/\/ 反序列化入口代码示例 <\/span><\/span><\/span><\/span>Object obj =<\/span> hessianDeserialize(<\/span>input);<\/span> <\/span><\/span>String str =<\/span> obj.<\/span>toString<\/span>();<\/span> \/\/ 关键触发点 <\/span><\/span><\/span><\/code><\/pre>利用链构建<\/h2> Fastjson原生反序列化关联<\/h3> 由于会触发toString<\/code>，可以联想到Fastjson的原生反序列化利用方式，因为Fastjson的入口也是通过toString<\/code>方法触发。<\/p> 调用栈分析<\/h3> 测试代码执行后的调用栈如下：<\/p> Hessian反序列化入口<\/code><\/li> toString方法触发<\/code><\/li> Fastjson相关处理<\/code><\/li> 最终执行点<\/code><\/li> <\/ol> JSON.toString分析<\/h3> 关键点在于JSON.toString<\/code>方法的实现：<\/p> public<\/span> String toString<\/span>()<\/span> {<\/span> <\/span><\/span> \/\/ 会触发对象的各种getter方法 <\/span><\/span><\/span><\/span> return<\/span> JSON.<\/span>toJSONString<\/span>(<\/span>this<\/span>);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>Sink点寻找<\/h2> H2 Database利用<\/h3> 主要关注h2database<\/code>依赖提供的危险功能：<\/p> JdbcDataSource类<\/strong>：传统利用点，但已被黑名单拦截<\/p> org.h2.jdbcx<\/code>包下的类都被禁用<\/li> <\/ul> <\/li> 替代实现类<\/strong>：<\/p> 需要寻找未被黑名单覆盖的H2实现类<\/li> 最终找到可用的实现类：org.h2.jdbc.JdbcConnection<\/code><\/li> <\/ul> <\/li> <\/ol> H2命令执行绕过<\/h3> 关键优势：H2提供的命令执行方法可以绕过SecurityManager限制：<\/p> CREATE<\/span> ALIAS<\/span> EXEC<\/span> AS<\/span> 'String exec(String cmd) throws java.io.IOException { <\/span><\/span><\/span> java.util.Scanner s = new java.util.Scanner(Runtime.getRuntime().exec(cmd).getInputStream()); <\/span><\/span><\/span> return s.hasNext() ? s.next() : "";}'<\/span>; <\/span><\/span>CALL<\/span> EXEC<\/span>('whoami'<\/span>); <\/span><\/span><\/code><\/pre>完整利用链<\/h2> 通过Hessian反序列化入口传入恶意对象<\/li> 触发对象的toString<\/code>方法<\/li> toString<\/code>触发Fastjson的序列化过程<\/li> Fastjson调用H2相关类的getter方法<\/li> 通过H2数据库功能执行系统命令<\/li> 绕过SecurityManager限制<\/li> <\/ol> 防御建议<\/h2> 加强黑名单覆盖更多H2相关类<\/li> 禁用不必要的依赖(h2database如果不需要)<\/li> 监控反序列化过程中的toString调用<\/li> 实施更严格的白名单机制替代黑名单<\/li> <\/ol> 参考资源<\/h2> H2 Database JNDI利用<\/a><\/li> Fastjson反序列化漏洞原理<\/li> Hessian协议安全分析<\/li> <\/ul> 通过这种精妙的利用链，攻击者可以绕过框架的多重防护，最终实现命令执行。理解这种利用方式有助于更好地防御类似攻击。<\/p>

SOLON框架绕过Hessian黑名单利用分析<\/h1>

前言<\/h2> 本文详细分析SOLON框架中Hessian反序列化漏洞的绕过利用技术，特别关注如何绕过内置的黑名单防护机制。该技术在近期网络安全竞赛(如SU比赛和国赛)中多次出现，具有实际应用价值。<\/p>

环境分析<\/h2>

反序列化入口<\/h3> 代码中提供了一个Hessian的反序列化入口点，这是漏洞利用的起点。<\/p>

防护机制分析<\/h2>

利用链构建<\/h2>

Fastjson原生反序列化关联<\/h3> 由于会触发toString<\/code>，可以联想到Fastjson的原生反序列化利用方式，因为Fastjson的入口也是通过toString<\/code>方法触发。<\/p>

Sink点寻找<\/h2>

前言<\/h2>
本文详细分析SOLON框架中Hessian反序列化漏洞的绕过利用技术，特别关注如何绕过内置的黑名单防护机制。该技术在近期网络安全竞赛(如SU比赛和国赛)中多次出现，具有实际应用价值。<\/p>

反序列化入口<\/h3>
代码中提供了一个Hessian的反序列化入口点，这是漏洞利用的起点。<\/p>

Fastjson原生反序列化关联<\/h3>
由于会触发`toString<\/code>，可以联想到Fastjson的原生反序列化利用方式，因为Fastjson的入口也是通过toString<\/code>方法触发。<\/p>`