Hessian2二次反序列化与Rome链利用技术详解<\/h1>

前言<\/h2>
本文深入分析Hessian2通过Rome链进行两次反序列化完成恶意EvilTemplatesImpl注入的技术细节。重点探讨TemplatesImpl的触发机制、Hessian2反序列化特性以及SignedObject在绕过限制中的作用。<\/p>

1. TemplatesImpl触发机制详解<\/h2>
TemplatesImpl是Java XML处理中的一个关键类，其触发机制涉及以下关键方法：<\/p>

1.1 方法调用链<\/h3>

getOutputProperties()<\/strong><\/p>

这是触发链的入口点<\/li>
会调用newTransformer()方法<\/li> <\/ul> <\/li>

newTransformer()<\/strong><\/p>

调用getTransletInstance()来创建恶意类<\/li>
是实际触发恶意代码执行的关键环节<\/li> <\/ul> <\/li>

getTransletInstance()<\/strong><\/p>

会进入defineTransletClasses()方法<\/li>
需要满足两个条件才能进入defineTransletClasses：

_name<\/code>不能为空<\/li>
_class<\/code>必须为空<\/li> <\/ul> <\/li> <\/ul> <\/li> <\/ol> 1.2 defineTransletClasses关键点<\/h3> 在defineTransletClasses方法中，有几个需要特别注意的点：<\/p> _tfactory属性<\/strong><\/p> 这是需要特别关注的关键属性<\/li> 它是为何需要调用二次反序列化的关键原因<\/li> 在第一次反序列化时可能为空，导致NullPointerException<\/li> <\/ul> <\/li> 类定义过程<\/p> 负责加载和定义恶意类<\/li> 需要正确的字节码和类名设置<\/li> <\/ul> <\/li> <\/ol> 2. Hessian2反序列化特性<\/h2> 2.1 序列化限制<\/h3> Hessian2对序列化有以下重要限制：<\/p> transient字段处理<\/strong><\/p> Hessian2Input与Hessian2Output均不能对transient修饰的成员进行序列化或反序列化<\/li> 这是与Java原生序列化的重要区别<\/li> <\/ul> <\/li> ObjectInput\/ObjectOutput行为<\/strong><\/p> 除非相关类重写了readObject或writeObject方法<\/li> 否则也无法操作transient修饰的成员变量<\/li> <\/ul> <\/li> <\/ol> 2.2 TemplatesImpl的特殊处理<\/h3> TemplatesImpl类有以下特殊行为：<\/p> _tfactory属性<\/strong><\/p> 虽然是transient修饰<\/li> 但重写了readObject方法，会在其中生成_tfactory的实例<\/li> 这是解决NullPointerException的关键<\/li> <\/ul> <\/li> 二次反序列化的必要性<\/p> 第一次反序列化时_tfactory可能为空<\/li> 通过重写的readObject方法可以正确初始化_tfactory<\/li> 使得后续的getOutputProperties调用不会抛出异常<\/li> <\/ul> <\/li> <\/ol> 3. SignedObject的利用<\/h2> 3.1 SignedObject特性<\/h3> SignedObject在sofastack\/sofa-hessian的黑名单中被发现，具有以下特点：<\/p> 序列化机制<\/strong><\/p> 使用ObjectInput.readObject和ObjectOutput.writeObject操作Serializable类<\/li> 字节码存储在this.content属性中<\/li> <\/ul> <\/li> 反序列化触发<\/strong><\/p> 可以通过getObject函数触发反序列化<\/li> 因为是getter方法，可以在ToStringBean的toString方法中被调用<\/li> <\/ul> <\/li> <\/ol> 3.2 解决_tfactory为空的问题<\/h3> SignedObject可以用于解决TemplatesImpl中_tfactory为空的问题：<\/p> 封装机制<\/strong><\/p> 将TemplatesImpl封装在SignedObject中<\/li> 通过getObject触发完整的反序列化过程<\/li> <\/ul> <\/li> 示例代码<\/strong><\/p> <\/li> <\/ol> public<\/span> static<\/span> void<\/span> main<\/span>(<\/span>String[]<\/span> args)<\/span> throws<\/span> Exception {<\/span> <\/span><\/span> \/\/ 创建恶意TemplatesImpl对象 <\/span><\/span><\/span><\/span> TemplatesImpl templates =<\/span> createMaliciousTemplates();<\/span> <\/span><\/span> <\/span><\/span> \/\/ 创建SignedObject封装 <\/span><\/span><\/span><\/span> KeyPairGenerator keyPairGenerator =<\/span> KeyPairGenerator.<\/span>getInstance<\/span>(<\/span>"DSA"<\/span>);<\/span> <\/span><\/span> keyPairGenerator.<\/span>initialize<\/span>(<\/span>1024<\/span>);<\/span> <\/span><\/span> KeyPair keyPair =<\/span> keyPairGenerator.<\/span>genKeyPair<\/span>();<\/span> <\/span><\/span> PrivateKey privateKey =<\/span> keyPair.<\/span>getPrivate<\/span>();<\/span> <\/span><\/span> Signature signature =<\/span> Signature.<\/span>getInstance<\/span>(<\/span>privateKey.<\/span>getAlgorithm<\/span>());<\/span> <\/span><\/span> <\/span><\/span> SignedObject signedObject =<\/span> new<\/span> SignedObject(<\/span>templates,<\/span> privateKey,<\/span> signature);<\/span> <\/span><\/span> <\/span><\/span> \/\/ 触发反序列化 <\/span><\/span><\/span><\/span> TemplatesImpl evil =<\/span> (<\/span>TemplatesImpl)<\/span> signedObject.<\/span>getObject<\/span>();<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>3.3 完整利用链<\/h3> 第一次反序列化<\/strong><\/p> Hessian2反序列化SignedObject<\/li> 此时TemplatesImpl的_tfactory可能未正确初始化<\/li> <\/ul> <\/li> 第二次反序列化<\/strong><\/p> 通过getObject触发完整反序列化<\/li> TemplatesImpl的readObject被调用，正确初始化_tfactory<\/li> 后续调用getOutputProperties不会抛出异常<\/li> <\/ul> <\/li> <\/ol> 4. 完整攻击流程<\/h2> 构造恶意TemplatesImpl<\/strong><\/p> 设置_name不为空<\/li> 确保_class为空<\/li> 包含恶意字节码<\/li> <\/ul> <\/li> 封装到SignedObject<\/strong><\/p> 利用SignedObject封装恶意对象<\/li> 准备触发二次反序列化<\/li> <\/ul> <\/li> Hessian2序列化<\/strong><\/p> 将SignedObject序列化为Hessian2格式<\/li> 准备发送给目标<\/li> <\/ul> <\/li> 目标反序列化<\/strong><\/p> 目标使用Hessian2反序列化<\/li> 触发SignedObject的getObject<\/li> 完成TemplatesImpl的完整反序列化<\/li> 通过Rome链触发恶意代码执行<\/li> <\/ul> <\/li> <\/ol> 5. 防御建议<\/h2> 黑名单机制<\/strong><\/p> 将SignedObject加入反序列化黑名单<\/li> 限制危险类的反序列化<\/li> <\/ul> <\/li> 输入验证<\/strong><\/p> 严格验证反序列化的数据来源<\/li> 避免不可信数据的反序列化<\/li> <\/ul> <\/li> 安全配置<\/strong><\/p> 使用最新版本的序列化库<\/li> 应用安全补丁<\/li> <\/ul> <\/li> <\/ol> 6. 参考资源<\/h2> CommonsCollections3分析 - 笑花大王<\/a><\/li> Java"后反序列化漏洞"利用思路 - Ruilin<\/a><\/li> Gadget1.java - Ruilin<\/a><\/li> Hessian 反序列化漏洞分析 - D4ck<\/a><\/li> <\/ol> 通过深入理解这些技术细节，安全研究人员可以更好地防御这类攻击，同时也能够更有效地进行安全测试和漏洞挖掘。<\/p>

Hessian2二次反序列化与Rome链利用技术详解<\/h1>

前言<\/h2> 本文深入分析Hessian2通过Rome链进行两次反序列化完成恶意EvilTemplatesImpl注入的技术细节。重点探讨TemplatesImpl的触发机制、Hessian2反序列化特性以及SignedObject在绕过限制中的作用。<\/p>

1. TemplatesImpl触发机制详解<\/h2> TemplatesImpl是Java XML处理中的一个关键类，其触发机制涉及以下关键方法：<\/p>

2. Hessian2反序列化特性<\/h2>

3. SignedObject的利用<\/h2>

前言<\/h2>
本文深入分析Hessian2通过Rome链进行两次反序列化完成恶意EvilTemplatesImpl注入的技术细节。重点探讨TemplatesImpl的触发机制、Hessian2反序列化特性以及SignedObject在绕过限制中的作用。<\/p>

1. TemplatesImpl触发机制详解<\/h2>
TemplatesImpl是Java XML处理中的一个关键类，其触发机制涉及以下关键方法：<\/p>