Shiro反序列化漏洞的CodeQL分析教学文档<\/h1>

1. 反序列化漏洞分析基础<\/h2>
在分析Shiro反序列化漏洞时，CodeQL审计的核心是寻找source<\/strong>（入口点）和sink<\/strong>（危险操作点）。<\/p>

1.1 反序列化入口点(source)<\/h3>
反序列化漏洞的入口点通常是实现了Serializable<\/code>接口的类：<\/p>
import java from Class cls where cls.getASupertype() instanceof TypeSerializable and cls.fromSource() select cls <\/code><\/pre> 这条查询会找出所有实现了Serializable<\/code>接口且来自源代码的类。<\/p> 2. 定位关键类和方法<\/h2> 2.1 查找特定类的实例化<\/h3> 要查找User<\/code>类的实例化：<\/p> import java \/* 找到实例化User的类 *\/ class FindUser extends RefType { FindUser() { this.hasQualifiedName("com.summersec.shiroctf.bean", "User") } } from ClassInstanceExpr clie where clie.getType() instanceof FindUser select clie <\/code><\/pre> FindUser<\/code>类构造函数验证当前类是否是User<\/code>类的引用<\/li> from ClassInstanceExpr clie<\/code>获取所有实例化对象<\/li> where<\/code>条件判断实例化对象是否为User<\/code>类的实例<\/li> <\/ul> 2.2 查找关键方法<\/h3> 查找Tools<\/code>包下的三个关键方法：<\/p> import java from Method m where (m.getName() = "deserialize" or m.getName() = "serialize" or m.getName() = "base64Encode") and m.getDeclaringType().getPackage().getName() = "com.summersec.shiroctf.Tools" select m <\/code><\/pre> 3. 查找危险方法调用<\/h2> 查找所有调用exeCmd<\/code>方法的位置：<\/p> import java from MethodAccess call where call.getMethod().hasName("exeCmd") select call, "调用 exeCmd 方法" <\/code><\/pre> 4. 完整的数据流分析<\/h2> 4.1 定义sink点<\/h3> predicate deser(Expr arg) { exists(MethodAccess des | des.getMethod().hasName("deserialize") and arg = des.getArgument(0) ) } <\/code><\/pre> 4.2 使用RemoteFlowSource<\/h3> CodeQL提供了RemoteFlowSource<\/code>来覆盖所有不受信任的远端输入：<\/p> override predicate isSource(DataFlow::Node source) { source instanceof RemoteFlowSource } <\/code><\/pre> 4.3 完整QL规则<\/h3> \/** * @name Unsafe shiro deserialization * @kind path-problem * @id java\/unsafe-shiro-deserialization *\/ import java import semmle.code.java.dataflow.FlowSources import DataFlow::PathGraph \/\/ 定义反序列化sink点 predicate deser(Expr arg) { exists(MethodAccess des | des.getMethod().hasName("deserialize") and arg = des.getArgument(0) ) } \/\/ 配置类 class ShiroUnsafeDeserializationConfig extends TaintTracking::Configuration { ShiroUnsafeDeserializationConfig() { this = "StrutsUnsafeDeserializationConfig" } \/\/ 定义source override predicate isSource(DataFlow::Node source) { source instanceof RemoteFlowSource } \/\/ 定义sink override predicate isSink(DataFlow::Node sink) { exists(Expr arg | deser(arg) and sink.asExpr() = arg ) } } \/\/ 查询数据流路径 from ShiroUnsafeDeserializationConfig config, DataFlow::PathNode source, DataFlow::PathNode sink where config.hasFlowPath(source, sink) select sink.getNode(), source, sink, "Unsafe shiro deserialization", source.getNode(), "this user input" <\/code><\/pre> 5. 漏洞利用链分析<\/h2> 入口点<\/strong>：IndexController<\/code>类中可以设置request<\/code>参数，通过cookie传入<\/li> 处理流程<\/strong>：cookie经过一系列处理后到达deserialize<\/code>方法<\/li> 危险操作<\/strong>：如果能将exeCmd<\/code>方法放入反序列化中，就能完成利用<\/li> <\/ol> 关键点：<\/p> deserialize<\/code>方法的bytes<\/code>参数是sink点<\/li> 远端输入（如cookie）是source点<\/li> 数据流从source流向sink即构成漏洞<\/li> <\/ul> 6. 总结<\/h2> 通过CodeQL分析Shiro反序列化漏洞的关键步骤：<\/p> 识别反序列化入口点（实现Serializable<\/code>的类）<\/li> 定位关键方法（serialize<\/code>\/deserialize<\/code>）<\/li> 查找危险方法调用（如exeCmd<\/code>）<\/li> 定义source和sink<\/li> 分析数据流路径<\/li> 确认漏洞存在条件（数据从source流向sink）<\/li> <\/ol> 这种分析方法不仅适用于Shiro，也可应用于其他Java反序列化漏洞的分析。<\/p>

Shiro反序列化漏洞的CodeQL分析教学文档<\/h1>

1. 反序列化漏洞分析基础<\/h2> 在分析Shiro反序列化漏洞时，CodeQL审计的核心是寻找source<\/strong>（入口点）和sink<\/strong>（危险操作点）。<\/p>

4. 完整的数据流分析<\/h2>

1. 反序列化漏洞分析基础<\/h2>
在分析Shiro反序列化漏洞时，CodeQL审计的核心是寻找source<\/strong>（入口点）和sink<\/strong>（危险操作点）。<\/p>