Vaadin反序列化漏洞利用链分析与Tabby工具检测缺陷<\/h1>

前言<\/h2>
本文基于Vaadin框架的反序列化漏洞利用链分析，结合静态分析工具Tabby在实际应用中的表现，总结了Vaadin框架中新的利用方式以及Tabby工具在检测过程中的一些缺陷。主要内容包括MethodProperty类的任意方法调用、TextFileProperty类的文件读取以及J2EEConnectionPool类的JDBC攻击等利用方式。<\/p>

MethodProperty类的任意方法调用<\/h2>

原始利用方式回顾<\/h3>
原始的Vaadin反序列化Gadget是通过利用`NestedMethodProperty#getValue<\/code>方法进行利用的。而实际上，MethodProperty#getValue<\/code>方法也可以作为替代使用，且使用更为方便。<\/p>`

MethodProperty#getValue方法分析<\/h3>
MethodProperty#getValue<\/code>方法的实现非常简洁：<\/p>
public<\/span> Object getValue<\/span>()<\/span> {<\/span>
<\/span><\/span>    if<\/span> (<\/span>instance !=<\/span> null<\/span>)<\/span> {<\/span>
<\/span><\/span>        return<\/span> ReflectTools.<\/span>invokeMethod<\/span>(<\/span>getMethod,<\/span> instance,<\/span> getArgs);<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>    return<\/span> null<\/span>;<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>该方法逻辑为：若instance<\/code>属性不为空，则反射调用getMethod<\/code>属性中的方法。<\/p>
关键属性分析<\/h3>
这些关键属性都是通过MethodProperty<\/code>类的构造函数进行传入的：<\/p>


第一个构造函数<\/strong>（两个参数：instance<\/code>和beanPropertyName<\/code>）：<\/p>

获取传入的instance对象的类<\/li>
处理传入的属性名（首字母大写）<\/li>
通过initGetterMethod<\/code>获取后续能够反射调用的Method方法<\/li>
可以调用getter\/is\/are方法<\/li>
<\/ul>
<\/li>

倒数第二个构造函数<\/strong>（七个参数）：<\/p>

直接反射从传入的instance实例中获取该对象所有的方法列表<\/li>
使用传入的getMethodName<\/code>和type<\/code>与反射获取的方法列表进行比对<\/li>
比对成功则直接将其赋值给getMethod<\/code>属性<\/li>
关键点<\/strong>：未对传入的getMethodName<\/code>变量做任何限制，不仅可以传入getter方法，也可以传入非getter方法<\/li>
<\/ul>
<\/li>

最后一个构造函数<\/strong>：<\/p>

直接赋值构造函数，最为直接<\/li>
<\/ul>
<\/li>
<\/ol>
利用方式<\/h3>
Way1：调用getter方法<\/strong><\/p>
\/\/ 构造调用getter方法的示例
<\/span><\/span><\/span><\/span>MethodProperty mp =<\/span> new<\/span> MethodProperty(<\/span>targetObject,<\/span> "propertyName"<\/span>);<\/span>
<\/span><\/span><\/code><\/pre>Way2：调用任意方法<\/strong><\/p>
\/\/ 构造调用任意方法的示例
<\/span><\/span><\/span><\/span>MethodProperty mp =<\/span> new<\/span> MethodProperty(<\/span>targetObject,<\/span> "methodName"<\/span>,<\/span> parameterTypes,<\/span> parameters);<\/span>
<\/span><\/span><\/code><\/pre>TextFileProperty类的文件读取<\/h2>
com.vaadin.data.util.TextFileProperty<\/code>类在其getValue<\/code>方法中：<\/p>
public<\/span> Object getValue<\/span>()<\/span> {<\/span>
<\/span><\/span>    try<\/span> {<\/span>
<\/span><\/span>        return<\/span> FileUtils.<\/span>readFileToString<\/span>(<\/span>file);<\/span>
<\/span><\/span>    }<\/span> catch<\/span> (<\/span>IOException e)<\/span> {<\/span>
<\/span><\/span>        throw<\/span> new<\/span> RuntimeException(<\/span>e);<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>该方法直接传入file<\/code>属性（该属性值可控），在读取文件之后将内容进行返回。<\/p>
注意<\/strong>：在反序列化漏洞场景下，这种文件读取的利用方式需要进一步验证其实际可行性。<\/p>
JDBC攻击利用<\/h2>
J2EEConnectionPool#reserveConnection利用<\/h3>
J2EEConnectionPool#reserveConnection<\/code>方法的利用流程：<\/p>
reserveConnection -> getDataSource -> lookupDataSource
<\/code><\/pre>
这个流程可以触发JNDI注入。此外，如果dataSource<\/code>属性值不为空，则会调用DataSource#getConnection<\/code>，从而触发JDBC攻击。<\/p>
POC示例<\/h3>
\/\/ J2EEConnectionPool#reserveConnection的JDBC attack示例
<\/span><\/span><\/span>\/\/ 需要使用dbcp依赖，打EL表达式，需添加对应依赖
<\/span><\/span><\/span><\/code><\/pre>Tabby工具的检测缺陷分析<\/h2>
现有问题<\/h3>


虽然污点分析工具可以找到原始利用链的完整通路，但对于某些链子（如J2EEConnectionPool#reserveConnection<\/code>和SimpleJDBCConnectionPool#reserveConnection<\/code>方法）不存在有通路。<\/p>
<\/li>

这些链子在最后达到sink点（如JNDI触发位置）时，并没有参数被污染，数据流不能够被传递。<\/p>
<\/li>
<\/ol>
Tabby的具体缺陷<\/h3>


虽然能够使用apoc.algo.allSimplePaths<\/code>这个procedure查到对应的两条链子，但不能检索到J2EEConnectionPool#reserveConnection<\/code>中存在的JDBC attack。<\/p>
<\/li>

根本原因<\/strong>：在生成调用关系图的过程中，没有处理连续调用的情况（如getDataSource().getConnection()<\/code>），这是一个检测上的缺陷。<\/p>
<\/li>
<\/ol>
总结<\/h2>


MethodProperty<\/code>类提供了灵活的任意方法调用能力，通过不同的构造函数可以实现getter方法调用或任意方法调用。<\/p>
<\/li>

TextFileProperty<\/code>类存在潜在的文件读取风险，但在反序列化场景下的利用需要进一步验证。<\/p>
<\/li>

J2EEConnectionPool<\/code>类不仅可以通过JNDI注入利用，还可以通过JDBC攻击进行利用。<\/p>
<\/li>

静态分析工具Tabby在处理某些特定调用模式（如连续方法调用）时存在检测缺陷，需要人工分析进行补充。<\/p>
<\/li>

在实际漏洞挖掘中，需要结合工具分析和人工验证，才能全面发现潜在的利用链。<\/p>
<\/li>
<\/ol>

Vaadin反序列化漏洞利用链分析与Tabby工具检测缺陷<\/h1>

MethodProperty类的任意方法调用<\/h2>

原始利用方式回顾<\/h3> 原始的Vaadin反序列化Gadget是通过利用NestedMethodProperty#getValue<\/code>方法进行利用的。而实际上，MethodProperty#getValue<\/code>方法也可以作为替代使用，且使用更为方便。<\/p>

Tabby工具的检测缺陷分析<\/h2>

原始利用方式回顾<\/h3>
原始的Vaadin反序列化Gadget是通过利用`NestedMethodProperty#getValue<\/code>方法进行利用的。而实际上，MethodProperty#getValue<\/code>方法也可以作为替代使用，且使用更为方便。<\/p>`