AliyunCTF2025 Espresso Coffee 反序列化漏洞分析与利用<\/h1>

1. 漏洞背景与概述<\/h2>
本漏洞涉及GraalVM的Java虚拟机(Espresso)中的Continuation反序列化问题。攻击者可以通过精心构造的序列化数据，在反序列化时修改Continuation的执行流程，最终实现任意命令执行。<\/p>

2. 关键概念解析<\/h2>

2.1 Continuation机制<\/h3>

Continuation是GraalVM提供的一种控制流抽象，允许保存和恢复执行状态。关键特性包括：<\/p>

可序列化\/反序列化<\/li>
通过resume()<\/code>方法恢复执行<\/li>

通过suspend()<\/code>方法暂停执行<\/li>
<\/ul>
执行流程：<\/p>

第一次执行resume()<\/code>会进入EntryPoint#start<\/code><\/li>
遇到suspend()<\/code>时暂停<\/li>
下次resume()<\/code>会从上一次suspend()<\/code>的位置继续<\/li>
<\/ol>
2.2 FrameRecord结构<\/h3>
Continuation的核心是stackFrameHead<\/code>属性，它记录了方法执行状态：<\/p>

method<\/strong>: 当前执行的方法<\/li>
bci<\/strong> (bytecode index): 当前执行的字节码位置<\/li>
pointers<\/strong>: 方法上下文（局部变量表）

非静态方法：pointers[0]<\/code>=this，pointers[1...]<\/code>=参数+局部变量<\/li>
静态方法：pointers[0]<\/code>=第一个参数<\/li>
<\/ul>
<\/li>
<\/ul>
3. 漏洞原理分析<\/h2>
3.1 攻击思路<\/h3>
通过反序列化修改FrameRecord<\/code>：<\/p>

篡改method<\/code>指向恶意方法（如Runtime.exec()<\/code>）<\/li>
控制bci<\/code>指向合适的字节码位置<\/li>
设置pointers<\/code>提供必要的参数<\/li>
<\/ol>
3.2 字节码执行分析<\/h3>
关键字节码指令：<\/p>

aload_X<\/code>: 加载局部变量表位置X的值到操作数栈<\/li>
invokevirtual<\/code>: 调用实例方法<\/li>
areturn<\/code>: 返回方法结果<\/li>
<\/ul>
示例分析（Runtime.exec()<\/code>）：<\/p>
0: aload_0         \/\/ 加载this
1: aload_1         \/\/ 加载第一个参数
2: aconst_null     \/\/ 压入null
3: aconst_null     \/\/ 压入null
4: invokevirtual   \/\/ 调用exec(String, null, null)
5: areturn         \/\/ 返回结果
<\/code><\/pre>
3.3 执行控制限制<\/h3>
关键限制：<\/p>

bci<\/code>必须指向invoke<\/code>类型指令，否则报错"Target bci is not a valid bytecode"<\/li>
前两帧必须为固定方法：

第一帧：ContinuationImpl.run()<\/code><\/li>
第二帧：ContinuationEntryPoint.start()<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
4. 漏洞利用技术<\/h2>
4.1 寻找合适gadget<\/h3>
理想gadget需要满足：<\/p>

包含危险方法调用<\/li>
不依赖this对象<\/li>
参数可控<\/li>
<\/ol>
发现sun.print.PSPrinterJob$PrinterSpooler.printExecCmd<\/code>方法：<\/p>
83: astore_2       \/\/ 存储null到局部变量2
86: invokestatic   \/\/ 调用Runtime.getRuntime()
89: aload_2        \/\/ 加载局部变量2(null)
90: invokevirtual  \/\/ 调用exec(null)
<\/code><\/pre>
4.2 控制返回值<\/h3>
通过添加额外帧控制返回值：<\/p>

第一帧：bci=83<\/code>，执行printExecCmd<\/code><\/li>
第二帧：HashMap.removeNode<\/code>中bci=283<\/code>，执行：
286: aload 10    \/\/ 加载局部变量10
289: areturn     \/\/ 返回该值
<\/code><\/pre>
<\/li>
<\/ol>
设置pointers[10]<\/code>为命令数组String[]{"calc"}<\/code><\/p>
4.3 动态代理绕过限制<\/h3>
由于第二帧必须是ContinuationEntryPoint.start()<\/code>，但无实现类：<\/p>

使用动态代理创建ContinuationEntryPoint<\/code>实例<\/li>
序列化后手动修改InvocationHandler<\/code>为JDK内置类<\/li>
<\/ol>
5. 完整利用步骤<\/h2>
5.1 环境准备<\/h3>

获取调试环境：GraalVM序列化文档<\/a><\/li>
简化调试流程：

第一次运行resume()<\/code>生成序列化文件<\/li>
第二次运行读取文件，在resume()<\/code>前断点检查continuation<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
5.2 EXP构造<\/h3>
修改PersistApp.main()<\/code>：<\/p>
public<\/span> static<\/span> void<\/span> main<\/span>(<\/span>String[]<\/span> args)<\/span> throws<\/span> Exception {<\/span>
<\/span><\/span>    \/\/ 1. 创建动态代理的ContinuationEntryPoint
<\/span><\/span><\/span><\/span>    InvocationHandler handler =<\/span> new<\/span> CustomHandler();<\/span>
<\/span><\/span>    ContinuationEntryPoint entryPoint =<\/span> (<\/span>ContinuationEntryPoint)<\/span> Proxy.<\/span>newProxyInstance<\/span>(<\/span>
<\/span><\/span>        ContinuationEntryPoint.<\/span>class<\/span>.<\/span>getClassLoader<\/span>(),<\/span>
<\/span><\/span>        new<\/span> Class<?>[]<\/span> {<\/span> ContinuationEntryPoint.<\/span>class<\/span> },<\/span>
<\/span><\/span>        handler);<\/span>
<\/span><\/span>    
<\/span><\/span>    \/\/ 2. 创建Continuation并序列化
<\/span><\/span><\/span><\/span>    Continuation continuation =<\/span> new<\/span> Continuation(<\/span>entryPoint);<\/span>
<\/span><\/span>    continuation.<\/span>resume<\/span>();<\/span>
<\/span><\/span>    
<\/span><\/span>    \/\/ 3. 反序列化修改
<\/span><\/span><\/span><\/span>    \/\/ - 修改stackFrameHead的method和bci
<\/span><\/span><\/span><\/span>    \/\/ - 设置pointers[10]为命令数组
<\/span><\/span><\/span><\/span>    \/\/ - 替换InvocationHandler为JDK内置类
<\/span><\/span><\/span><\/span>    
<\/span><\/span>    \/\/ 4. 触发漏洞
<\/span><\/span><\/span><\/span>    continuation.<\/span>resume<\/span>();<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>5.3 关键修改点<\/h3>


设置第一帧：<\/p>

method: sun.print.PSPrinterJob$PrinterSpinter.printExecCmd<\/code><\/li>
bci: 83<\/li>
pointers: 适当构造<\/li>
<\/ul>
<\/li>

设置第二帧：<\/p>

method: HashMap.removeNode<\/code><\/li>
bci: 283<\/li>
pointers[10]: String[]{"calc"}<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
6. 防御建议<\/h2>

禁止反序列化Continuation对象<\/li>
检查stackFrameHead<\/code>的方法合法性<\/li>
限制动态代理的使用<\/li>
更新GraalVM到修复版本<\/li>
<\/ol>
7. 总结<\/h2>
本漏洞通过精心构造Continuation的序列化数据，利用GraalVM的continuation机制和动态代理特性，实现了从反序列化到任意命令执行的完整利用链。关键在于理解FrameRecord结构和字节码执行流程，以及绕过Continuation的执行限制。<\/p>

AliyunCTF2025 Espresso Coffee 反序列化漏洞分析与利用<\/h1>

1. 漏洞背景与概述<\/h2> 本漏洞涉及GraalVM的Java虚拟机(Espresso)中的Continuation反序列化问题。攻击者可以通过精心构造的序列化数据，在反序列化时修改Continuation的执行流程，最终实现任意命令执行。<\/p>

2. 关键概念解析<\/h2>

3. 漏洞原理分析<\/h2>

4. 漏洞利用技术<\/h2>

5. 完整利用步骤<\/h2>

1. 漏洞背景与概述<\/h2>
本漏洞涉及GraalVM的Java虚拟机(Espresso)中的Continuation反序列化问题。攻击者可以通过精心构造的序列化数据，在反序列化时修改Continuation的执行流程，最终实现任意命令执行。<\/p>