VNCTF Java反序列化题目调用链分析教学文档<\/h1>

一、题目概述<\/h2>
这是一个Java反序列化漏洞利用的CTF题目，主要考察反序列化调用链的构造和绕过WAF的技巧。题目使用了多层反序列化调用链，结合了JDK原生类和Fastjson的漏洞利用方式。<\/p>

二、环境分析<\/h2>

1. 依赖分析<\/h3>

题目使用了较少的依赖<\/li>

主要关注点是JDK原生类和Fastjson<\/li> <\/ul>

2. 关键类分析<\/h3>

反序列化入口类<\/li>
WAF类（位于特定包名下）<\/li>

出口类（用于最终执行恶意代码）<\/li> <\/ul>

3. WAF限制<\/h3>

禁用了Jackson的利用链<\/li>

需要寻找其他可利用的链<\/li> <\/ul>

三、主要利用链分析<\/h2>

1. 主调用链结构<\/h3>

EventListenerList.readObject()
    -> UndoManager.toString()
        -> Vector.toString()
            -> Fastjson原生触发
                -> 二次反序列化
                    -> BadAttributeValueException
                        -> 出口类.getOutputProperties()
                            -> 字节码加载
<\/code><\/pre>
2. 详细调用过程<\/h3>
第一阶段：初始反序列化<\/h4>


EventListenerList.readObject()<\/strong><\/p>

JDK原生类javax.swing.event.EventListenerList<\/code>的readObject<\/code>方法<\/li>
会调用add<\/code>方法将反序列化的对象添加到监听器列表<\/li>
<\/ul>
<\/li>

UndoManager.toString()触发<\/strong><\/p>

add<\/code>方法中将javax.swing.undo.UndoManager<\/code>对象与字符串拼接<\/li>
这会触发UndoManager<\/code>的toString()<\/code>方法<\/li>
<\/ul>
<\/li>

Vector.toString()调用<\/strong><\/p>

UndoManager.toString()<\/code>会调用到java.util.Vector<\/code>的toString<\/code>方法<\/li>
Vector.toString()<\/code>会调用父类的AbstractCollection.toString()<\/code><\/li>
<\/ul>
<\/li>

Fastjson原生触发<\/strong><\/p>

在AbstractCollection.toString()<\/code>中会调用append<\/code>方法<\/li>
进而调用String.valueOf(obj)<\/code>，触发obj的toString<\/code>方法<\/li>
控制obj为JSONArray<\/code>对象，触发Fastjson的原生漏洞<\/li>
<\/ul>
<\/li>
<\/ol>
第二阶段：Fastjson原生利用<\/h4>


Fastjson触发机制<\/strong><\/p>

Fastjson原生漏洞会触发类的getter方法<\/li>
需要构造一个能触发二次反序列化的场景<\/li>
<\/ul>
<\/li>

SignedObject利用<\/strong><\/p>

控制JSONArray<\/code>中包含SignedObject<\/code>对象<\/li>
SignedObject.getObject()<\/code>方法会执行二次反序列化<\/li>
可以绕过WAF对第一次反序列化的限制<\/li>
<\/ul>
<\/li>
<\/ol>
第三阶段：二次反序列化<\/h4>


BadAttributeValueException利用<\/strong><\/p>

在二次反序列化中使用BadAttributeValueException<\/code><\/li>
这是Java反序列化中常用的触发toString<\/code>的老朋友<\/li>
可以触发出口类的getOutputProperties<\/code>方法<\/li>
<\/ul>
<\/li>

最终执行<\/strong><\/p>

通过getOutputProperties<\/code>触发字节码加载<\/li>
实现任意代码执行<\/li>
<\/ul>
<\/li>
<\/ol>
四、其他可能的利用链<\/h2>
1. JNDI攻击面<\/h3>

使用LdapAttribute<\/code>（JDK原生类）<\/li>
构造LDAP引用攻击<\/li>
需要注意JDK版本限制<\/li>
<\/ul>
利用步骤：<\/h4>

自建恶意LDAP服务<\/li>
构造LdapAttribute<\/code>对象指向恶意服务<\/li>
触发JNDI查找<\/li>
<\/ol>
2. Jackson原生利用<\/h3>

如果WAF没有完全禁用Jackson<\/li>
可以通过二次反序列化触发Jackson漏洞<\/li>
<\/ul>
POC结构：<\/h4>
第一次反序列化（绕过WAF）
    -> 触发二次反序列化
        -> Jackson原生链
            -> 任意代码执行
<\/code><\/pre>
五、关键知识点总结<\/h2>


多阶段反序列化<\/strong><\/p>

通过第一次反序列化触发第二次反序列化<\/li>
绕过WAF对第一次反序列化的限制<\/li>
<\/ul>
<\/li>

toString触发点<\/strong><\/p>

利用对象与字符串拼接、集合toString等方法<\/li>
触发关键类的toString方法<\/li>
<\/ul>
<\/li>

Fastjson原生利用<\/strong><\/p>

通过控制JSONArray触发Fastjson漏洞<\/li>
利用getter方法执行链<\/li>
<\/ul>
<\/li>

SignedObject绕过<\/strong><\/p>

利用SignedObject进行二次反序列化<\/li>
绕过对直接反序列化的限制<\/li>
<\/ul>
<\/li>

出口类利用<\/strong><\/p>

最终需要通过某个类的特定方法执行代码<\/li>
通常使用能触发字节码加载或命令执行的类<\/li>
<\/ul>
<\/li>
<\/ol>
六、防御建议<\/h2>


反序列化防御<\/strong><\/p>

使用白名单控制可反序列化的类<\/li>
避免直接反序列化不可信数据<\/li>
<\/ul>
<\/li>

WAF增强<\/strong><\/p>

不仅要检查第一次反序列化，还要防范二次反序列化<\/li>
禁止关键危险类如SignedObject<\/li>
<\/ul>
<\/li>

依赖管理<\/strong><\/p>

及时更新Fastjson等有漏洞的组件<\/li>
移除不必要的依赖<\/li>
<\/ul>
<\/li>

JNDI防护<\/strong><\/p>

限制JNDI查找<\/li>
升级JDK版本<\/li>
<\/ul>
<\/li>

运行时保护<\/strong><\/p>

使用SecurityManager限制敏感操作<\/li>
监控异常行为<\/li>
<\/ul>
<\/li>
<\/ol>

VNCTF Java反序列化题目调用链分析教学文档<\/h1>

一、题目概述<\/h2> 这是一个Java反序列化漏洞利用的CTF题目，主要考察反序列化调用链的构造和绕过WAF的技巧。题目使用了多层反序列化调用链，结合了JDK原生类和Fastjson的漏洞利用方式。<\/p>

二、环境分析<\/h2>

三、主要利用链分析<\/h2>

2. 详细调用过程<\/h3>

四、其他可能的利用链<\/h2>

一、题目概述<\/h2>
这是一个Java反序列化漏洞利用的CTF题目，主要考察反序列化调用链的构造和绕过WAF的技巧。题目使用了多层反序列化调用链，结合了JDK原生类和Fastjson的漏洞利用方式。<\/p>