Java序列化与反序列化安全漏洞深度解析<\/h1>

一、序列化与反序列化基础概念<\/h2>

1.1 基本定义<\/h3>

序列化(Serialization)<\/strong>: 将对象转换为字节序列的过程<\/li>

反序列化(Deserialization)<\/strong>: 把字节序列恢复为对象的过程<\/li> <\/ul>
1.2 Java中的API实现<\/h3>

ObjectOutputStream<\/strong>: 对象输出流，writeObject(Object obj)<\/code>方法可对指定对象进行序列化<\/li>
ObjectInputStream<\/strong>: 对象输入流，readObject()<\/code>方法从输入流读取字节序列并反序列化为对象<\/li> <\/ul> 1.3 序列化数据特征<\/h3> 数据开头为"AC ED 00 05"（十六进制）<\/li> 包含包名、类名、变量名称、类型及变量值<\/li> ObjectStreamConstants<\/code>类定义： STREAM_MAGIC<\/code>: 0xaced<\/li> STREAM_VERSION<\/code>: 5（JDK 1.5-1.8均为此值）<\/li> <\/ul> <\/li> <\/ul> 二、反序列化漏洞原理<\/h2> 2.1 漏洞本质<\/h3> 当Java应用对不可信数据直接进行反序列化处理时，攻击者可构造恶意输入，在反序列化过程中产生非预期对象，可能导致任意代码执行。<\/p> 2.2 关键组件：Apache Commons Collections<\/h3> 扩展了Java标准库的Collection结构<\/li> 提供了强大的数据结构类型和集合工具类<\/li> 广泛应用于各种Java应用开发<\/li> <\/ul> 2.3 漏洞根源<\/h3> Commons Collections中对集合操作存在可进行反射调用的方法，且反序列化时未进行校验。<\/p> 三、关键类分析<\/h2> 3.1 Transformer接口<\/h3> 将对象转换为另一个对象的接口实现类：<\/p> InvokerTransformer<\/strong><\/p> 通过反射创建新对象实例<\/li> 关键方法参数可控：方法名、参数类型、参数值<\/li> <\/ul> <\/li> ChainedTransformer<\/strong><\/p> 将多个Transformer连接成链<\/li> 对对象依次通过链中每个Transformer进行转换<\/li> <\/ul> <\/li> ConstantTransformer<\/strong><\/p> 将对象转化为常量并返回<\/li> <\/ul> <\/li> <\/ol> 3.4 POC构造原理<\/h3> 构建innerMap<\/code>键值对并赋值<\/li> 利用TransformedMap.decorate()<\/code>方法对Map的value进行transform<\/li> 当value执行完整转换链时完成命令执行<\/li> <\/ol> 3.5 触发机制<\/h3> 重写readObject()<\/code>方法的类在反序列化时会被优先调用<\/li> AnnotationInvocationHandler<\/code>类的memberValues<\/code>是Map类型<\/li> 其readObject()<\/code>中对memberValues<\/code>的每一项调用setValue()<\/code><\/li> <\/ul> 四、WebLogic相关漏洞<\/h2> 4.1 漏洞列表<\/h3> CVE-2015-4852<\/li> CVE-2016-0638<\/li> CVE-2016-3510<\/li> CVE-2017-3248<\/li> <\/ul> 4.2 T3协议特点<\/h3> Weblogic使用T3协议传输序列化数据<\/li> 数据包分为6部分，前4字节为总长度<\/li> 必须先发送T3协议头再发送序列化数据才能触发漏洞<\/li> <\/ul> 4.3 各漏洞特点<\/h3> CVE-2015-4852<\/h4> 黑名单过滤： org.apache.commons.collections.functors* com.sun.org.apache.xalan.internal.xsltc.trax* javassist* org.codehaus.groovy.runtime.ConvertedClosure org.codehaus.groovy.runtime.ConversionHandler org.codehaus.groovy.runtime.MethodClosure <\/code><\/pre> <\/li> 反序列化点： weblogic.rjvm.InboundMsgAbbrev.class::ServerChannelInputStream<\/li> weblogic.rjvm.MsgAbbrevInputStream.class<\/li> weblogic.iiop.Utils.class<\/li> <\/ul> <\/li> <\/ul> CVE-2016-0638<\/h4> 将反序列化对象封装进weblogic.corba.utils.MarshalledObject<\/code><\/li> 不在黑名单中，可正常反序列化<\/li> 反序列化时再次反序列化封装对象，绕过黑名单<\/li> <\/ul> CVE-2017-3248<\/h4> 利用黑名单外的反序列化类<\/li> 通过JRMP协议(Java远程消息交换协议)执行任意payload<\/li> <\/ul> 五、漏洞利用方法<\/h2> 5.1 利用步骤<\/h3> 找到接受外部输入的序列化对象接收点<\/li> 确认应用Class Path包含漏洞组件(如Commons Collections)<\/li> 使用ysoserial生成payload<\/li> 通过对象注入方式触发反序列化<\/li> <\/ol> 5.2 关键点<\/h3> 用恶意序列化数据替换正常数据<\/li> 利用反射调用Runtime.getRuntime().exec()<\/code><\/li> <\/ul> 5.3 JRMP利用<\/h3> 使用JRMPListener.java<\/code> payload<\/li> 序列化RemoteObjectInvocationHandler<\/code><\/li> 使用UnicastRef<\/code>对象建立TCP连接获取RMI registry<\/li> 通过JRMP协议实现未授权远程代码执行<\/li> <\/ul> 六、防御措施<\/h2> 升级受影响组件版本<\/li> 实施严格的反序列化白名单机制<\/li> 对输入数据进行严格验证<\/li> 使用安全框架如SerialKiller<\/li> 在反序列化前进行签名验证<\/li> <\/ol> 七、检测与验证<\/h2> 7.1 检测方法<\/h3> 检查应用是否使用受影响组件<\/li> 查找反序列化入口点<\/li> 尝试发送测试payload观察响应<\/li> <\/ol> 7.2 验证POC示例<\/h3> # 示例检测代码框架<\/span> <\/span><\/span>import<\/span> socket <\/span><\/span>import<\/span> time <\/span><\/span> <\/span><\/span>def<\/span> t3handshake<\/span>(sock, server_addr): <\/span><\/span> # T3协议握手实现<\/span> <\/span><\/span> pass<\/span> <\/span><\/span> <\/span><\/span>def<\/span> buildT3RequestObject<\/span>(sock, port): <\/span><\/span> # 构建T3请求对象<\/span> <\/span><\/span> pass<\/span> <\/span><\/span> <\/span><\/span>def<\/span> sendEvilObjData<\/span>(sock, data): <\/span><\/span> # 发送恶意序列化对象<\/span> <\/span><\/span> pass<\/span> <\/span><\/span> <\/span><\/span>def<\/span> checkVul<\/span>(res, server_addr, index): <\/span><\/span> # 检查漏洞是否存在<\/span> <\/span><\/span> pass<\/span> <\/span><\/span><\/code><\/pre>八、总结<\/h2> Java反序列化漏洞危害严重，影响范围广，攻击者可利用此漏洞实现远程代码执行。理解其原理和利用方式对安全防护至关重要，建议开发和安全人员深入掌握相关技术细节，采取有效措施防范此类风险。<\/p>