CodeQL自动化分析Hessian反序列化漏洞利用链<\/h1>

1. Hessian反序列化基础<\/h2>

1.1 Hessian简介<\/h3>

Hessian是一个轻量级的remoting onhttp工具，提供Java序列化\/反序列化功能，特点包括：<\/p>

二进制RPC协议<\/li>
比WebService更简单快捷<\/li>
适合发送二进制数据<\/li> <\/ul>
1.2 Hessian反序列化流程<\/h3>
1. 客户端发起请求并按照RPC协议格式填充信息<\/li>
2. 将二进制格式文件转化为流并通过传输协议传输<\/li>
3. 服务端接收流并转换为二进制格式文件<\/li>
4. 按照RPC协议格式获取请求信息并处理<\/li>
5. 处理结果写入二进制格式文件并返回<\/li> <\/ol>
  1.3 与原生反序列化的区别<\/h3>
  - 不需要实现Serializable接口<\/strong>：显著扩展了可利用类的范围<\/li>
  - 起始方法限制<\/strong>：只能为hashCode\/equals\/compareTo方法<\/li>
  - 成员变量限制<\/strong>：不能为transient修饰<\/li>
  - 不依赖<\/strong>：不依赖readObject逻辑和getter\/setter逻辑<\/li> <\/ul>
    2. SUCTF SU_Solon题目分析<\/h2>
    2.1 题目特点<\/h3>
    
    明确的Hessian反序列化题目<\/li>
    触发任意类的toString方法作为入口点<\/li>
    依赖包含：
    
    Fastjson 1.2.83<\/li>
    H2数据库<\/li> <\/ul> <\/li> <\/ul>
    2.2 利用思路<\/h3>
    
    利用Fastjson的JSONArray\/JSONObject类的toString方法触发任意类的getter方法<\/li>
    结合H2数据库的JDBC连接实现RCE<\/li> <\/ol>
    3. CodeQL分析过程<\/h2>
    3.1 分析目标<\/h3>
    寻找getter方法触发JDBC连接的途径<\/p>
    3.2 分析方法选择<\/h3>
    
    全局污点分析(TaintTracking2)<\/strong>：复杂但全面<\/li>
    构造查询谓词<\/strong>：相对简单，本文采用此方法<\/li> <\/ul>
    3.3 查询构建<\/h3>
    
    通过getASupertype*()<\/code>递归超类实现全面覆盖<\/li>
    查询静态调用目标和动态调度目标<\/li>
    使用Callable<\/code>作为查询子集（包含Method<\/code>和Constructor<\/code>）<\/li> <\/ol> 3.4 查询结果<\/h3> 发现14种可能的触发点，重点关注：<\/p> UnpooledDataSource<\/li> JdbcDataSource<\/li> DataSourceWrapper<\/li> DataSourceProxy<\/li> <\/ol> 4. 利用链分析<\/h2> 4.1 UnpooledDataSource利用<\/h3> 方法<\/strong>：getConnection()<\/code><\/li> 利用步骤<\/strong>：本地启动HTTP服务器存放恶意SQL文件<\/li> 绕过SecurityManager限制：System.setSecurityManager(null);<\/code><\/li> 生成反序列化对象触发RCE<\/li> <\/ol> <\/li> <\/ul> 4.2 JdbcDataSource利用<\/h3> 验证<\/strong>：可以触发JDBC连接<\/li> 问题<\/strong>：org.h2.jdbcx.JdbcDataSource<\/code>在Hessian黑名单中<\/li> 黑名单范围<\/strong>：org.h2.jdbcx<\/code>全限定类名前缀被过滤<\/li> <\/ul> 4.3 其他利用点分析<\/h3> DataSourceWrapper<\/strong>：<\/p> 包装类，本质仍是触发DataSource接口的getConnection()<\/code><\/li> 与直接触发UnpooledDataSource\/JdbcDataSource无本质区别<\/li> <\/ul> <\/li> DataSourceProxy<\/strong>：<\/p> 效果与DataSourceWrapper类似<\/li> <\/ul> <\/li> UnixPrintService<\/strong>：<\/p> JDK低版本可利用getter实现命令注入<\/li> 仍在sofa-hession黑名单中<\/li> <\/ul> <\/li> <\/ol> 5. 防御与绕过<\/h2> 5.1 SecurityManager绕过<\/h3> 直接关闭：System.setSecurityManager(null);<\/code><\/li> <\/ul> 5.2 黑名单绕过策略<\/h3> 寻找不在黑名单中的类似功能类<\/li> 利用包装类间接调用<\/li> 寻找新的利用链<\/li> <\/ol> 6. 总结与最佳实践<\/h2> 6.1 最佳利用链<\/h3> 首选<\/strong>：UnpooledDataSource的getConnection()<\/code>方法<\/li> 原因<\/strong>：不在黑名单中且功能完整<\/li> <\/ul> 6.2 CodeQL分析价值<\/h3> 快速定位潜在利用链<\/li> 全面覆盖可能的调用路径<\/li> 辅助识别黑名单外的可用类<\/li> <\/ul> 6.3 扩展思考<\/h3> 结合Fastjson漏洞扩大攻击面<\/li> 探索更多不在黑名单中的DataSource实现<\/li> 研究其他toString到getter的触发方式<\/li> <\/ul> 附录：关键QL查询示例<\/h2> \/\/ 基本查询结构示例 from Callable c where c.getName() = "getConnection" and c.getDeclaringType().getASupertype*().hasQualifiedName("javax.sql", "DataSource") select c <\/code><\/pre> \/\/ 更全面的查询示例 from Method m where m.getName().matches("get%") and m.getDeclaringType().getASupertype*().hasQualifiedName("javax.sql", "DataSource") and not m.getDeclaringType().getQualifiedName().matches("org.h2.jdbcx.%") select m <\/code><\/pre>

CodeQL自动化分析Hessian反序列化漏洞利用链<\/h1>

1. Hessian反序列化基础<\/h2>

2. SUCTF SU_Solon题目分析<\/h2>

3. CodeQL分析过程<\/h2>

3.1 分析目标<\/h3> 寻找getter方法触发JDBC连接的途径<\/p>

4. 利用链分析<\/h2>

5. 防御与绕过<\/h2>

6. 总结与最佳实践<\/h2>

3.1 分析目标<\/h3>
寻找getter方法触发JDBC连接的途径<\/p>