CC依赖-TransformedList触发Invoker利用链技术分析<\/h1>

1. 题目背景分析<\/h2>
题目提供了一个基于Blade框架的反序列化漏洞场景，主要特点包括：<\/p>
存在\/challenge<\/code>路由的反序列化入口<\/li>
使用N1ghtObjectInputStream<\/code>类进行反序列化<\/li>
存在CC依赖但常见调用链被禁用<\/li>
需要绕过黑名单限制<\/li>
<\/ul>
2. 关键依赖分析<\/h2>
题目环境包含Apache Commons Collections (CC)依赖，但以下关键类被禁用：<\/p>

ChainedTransformer<\/code>被禁用<\/li>
常见CC利用链被拦截<\/li>
<\/ul>
3. 利用链构造原理<\/h2>
3.1 核心利用点<\/h3>
利用TransformedList<\/code>触发InvokerTransformer<\/code>调用链：<\/p>


LazyList.get()触发点<\/strong>：<\/p>

当调用LazyList.get(0)<\/code>时，由于值为null，会进入if分支<\/li>
调用this.factory.create()<\/code>方法<\/li>
实际调用传入的ConstantFactory<\/code>对象的create方法<\/li>
<\/ul>
<\/li>

InvokerTransformer.transform()调用<\/strong>：<\/p>

返回的对象被传入set方法<\/li>
最终传入InvokerTransformer.transform<\/code><\/li>
完成反射调用<\/li>
<\/ul>
<\/li>
<\/ol>
3.2 绕过限制技术<\/h3>
由于ChainedTransformer<\/code>被禁用，需要：<\/p>

直接利用InvokerTransformer<\/code>进行二次反序列化<\/li>
构造能够触发TemplatesImpl字节码加载的payload<\/li>
<\/ol>
4. 利用方法详解<\/h2>
方法一：注册路由内存马<\/h3>


获取上下文<\/strong>：<\/p>
com.<\/span>hellokaton<\/span>.<\/span>blade<\/span>.<\/span>mvc<\/span>.<\/span>WebContext<\/span>
<\/span><\/span><\/code><\/pre><\/li>

注册路由关键类<\/strong>：<\/p>
com.<\/span>hellokaton<\/span>.<\/span>blade<\/span>.<\/span>server<\/span>.<\/span>RouteMethodHandler<\/span>
<\/span><\/span><\/code><\/pre><\/li>

注册路由步骤<\/strong>：<\/p>

通过@Path<\/code>注解标记<\/li>
添加到routeMatcher<\/code>和staticMapping<\/code><\/li>
<\/ul>
<\/li>

完整Payload示例<\/strong>：<\/p>
\/\/ 伪代码展示思路
<\/span><\/span><\/span><\/span>RouteMatcher routeMatcher =<\/span> WebContext.<\/span>get<\/span>().<\/span>routeMatcher<\/span>();<\/span>
<\/span><\/span>routeMatcher.<\/span>addRoute<\/span>(<\/span>new<\/span> Route(<\/span>"\/evil"<\/span>,<\/span> new<\/span> Exp(<\/span>"cmd"<\/span>),<\/span> "GET"<\/span>));<\/span>
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
方法二：Netty内存马注入<\/h3>


利用Netty特性<\/strong>：<\/p>

每次请求触发ServerBootstrap<\/code>初始化<\/li>
修改ServerBootstrapAcceptor<\/code>的childHandler<\/code><\/li>
<\/ul>
<\/li>

关键步骤<\/strong>：<\/p>

反射修改childHandler<\/code><\/li>
实现handler持久化<\/li>
<\/ul>
<\/li>

示例代码<\/strong>：<\/p>
\/\/ ServerBootstrapInterceptor.java
<\/span><\/span><\/span>\/\/ 转换为字节码后base64编码嵌入payload
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ol>
方法三：RouteMatcher内存马<\/h3>


利用类<\/strong>：<\/p>
com.<\/span>hellokaton<\/span>.<\/span>blade<\/span>.<\/span>mvc<\/span>.<\/span>route<\/span>.<\/span>RouteMatcher<\/span>
<\/span><\/span><\/code><\/pre><\/li>

实现思路<\/strong>：<\/p>

获取当前上下文<\/li>
添加并注册新路由<\/li>
注入恶意处理器<\/li>
<\/ul>
<\/li>
<\/ol>
5. 完整利用流程<\/h2>


生成Payload<\/strong>：<\/p>

构造能够触发TemplatesImpl<\/code>加载的CC+RMIPayload<\/li>
写入文件后通过POST二进制内容发送<\/li>
<\/ul>
<\/li>

执行流程<\/strong>：<\/p>
反序列化触发 → LazyList.get() → ConstantFactory.create() → 
InvokerTransformer.transform() → 二次反序列化\/内存马注入
<\/code><\/pre>
<\/li>

不出网利用<\/strong>：<\/p>

通过内存马实现持续控制<\/li>
注册新路由执行命令<\/li>
<\/ul>
<\/li>
<\/ol>
6. 防御建议<\/h2>


输入验证<\/strong>：<\/p>

严格校验反序列化输入<\/li>
使用白名单机制<\/li>
<\/ul>
<\/li>

依赖管理<\/strong>：<\/p>

升级CC库版本<\/li>
移除不必要的序列化功能<\/li>
<\/ul>
<\/li>

运行时防护<\/strong>：<\/p>

监控可疑的类加载行为<\/li>
限制反射调用权限<\/li>
<\/ul>
<\/li>
<\/ol>
7. 总结<\/h2>
该利用链展示了如何通过CC的TransformedList<\/code>和InvokerTransformer<\/code>在受限环境下实现二次反序列化和内存马注入，特别适用于：<\/p>

存在CC依赖但常见链被拦截的环境<\/li>
Blade等非Spring框架的应用<\/li>
不出网场景下的持久化控制<\/li>
<\/ul>