Tabby+Vaadin反序列化漏洞链挖掘与分析<\/h1>

1. 环境准备<\/h2>

分析环境<\/strong>:

Vaadin版本: vaadin-server-7.7.14, vaadin-shared-7.7.14<\/li>
JDK版本: jdk1.8.0_201<\/li>
分析工具: Tabby2.0<\/li> <\/ul> <\/li> <\/ul>
2. 基础概念<\/h2>
2.1 反序列化漏洞链组成<\/h3>
反序列化漏洞链通常由三部分组成:<\/p>

触发点(Source)<\/strong>: 反序列化入口点<\/li>
传递链(Gadget Chain)<\/strong>: 一系列方法调用链<\/li>
执行点(Sink)<\/strong>: 最终的危险操作点<\/li> <\/ol>
2.2 Vaadin框架中的关键类<\/h3>

BadAttributeValueExpException<\/code>: JDK中的类，常用于触发反序列化<\/li>
TemplatesImpl<\/code>: JDK中的类，可用于代码执行<\/li> <\/ul> 3. 漏洞链分析<\/h2> 3.1 已有链分析<\/h3> 引用ysoserial中的链，主要关注从Vaadin依赖中getValue<\/code>到sink点的调用链。<\/p> 3.2 新漏洞链挖掘<\/h3> 使用Tabby工具筛选发现两条潜在利用点:<\/p> 3.2.1 JNDI注入链<\/h4> 路径<\/strong>: com.vaadin.data.util.sqlcontainer.connection.J2EEConnectionPool#lookupDataSource<\/code><\/p> 参数可控<\/li> 可造成JNDI注入<\/li> <\/ul> 调用链分析<\/strong>:<\/p> 从lookupDataSource<\/code>出发<\/li> 初始分析最多调用2层，3层无调用链<\/li> 问题原因: J2EEConnectionPool#reserveConnection<\/code>实现了JDBCConnectionPool#reserveConnection<\/code>接口<\/li> 解决方案: 手动添加别名关系<\/li> <\/ol> 3.2.2 JDBC注入链<\/h4> 路径<\/strong>: com.vaadin.data.util.sqlcontainer.connection.SimpleJDBCConnectionPool#createConnection<\/code><\/p> 参数可控<\/li> 可造成JDBC注入<\/li> <\/ul> 调用链分析<\/strong>:<\/p> 从createConnection<\/code>出发<\/li> 存在多条分支，但最终sink点相同<\/li> <\/ol> 4. 详细调用链构建<\/h2> 4.1 JNDI注入完整调用链<\/h3> [调用链起点] ↓ com.vaadin.data.util.sqlcontainer.connection.J2EEConnectionPool#lookupDataSource ↓ [通过接口调用] com.vaadin.data.util.sqlcontainer.connection.JDBCConnectionPool#reserveConnection ↓ [其他调用] ... [最终JNDI注入点] <\/code><\/pre> 4.2 JDBC注入完整调用链<\/h3> [调用链起点] ↓ com.vaadin.data.util.sqlcontainer.connection.SimpleJDBCConnectionPool#createConnection ↓ [分支1] ... ↓ [分支2] ... ↓ [最终JDBC注入点] <\/code><\/pre> 5. 关键问题解决<\/h2> 5.1 接口调用问题<\/h3> 当遇到接口实现关系导致调用链断裂时:<\/p> 识别接口实现关系<\/li> 手动添加别名关系<\/li> 重新查询接口的调用<\/li> <\/ol> 5.2 调用链验证要点<\/h3> 限定初始调用函数条件(如name=getValue<\/code>)<\/li> 逐步增加CALL深度<\/li> 分析参数可控性<\/li> 检查调用链是否可执行<\/li> <\/ol> 6. POC构造<\/h2> 6.1 JNDI注入POC<\/h3> \/\/ 示例代码结构 <\/span><\/span><\/span><\/span>BadAttributeValueExpException bad =<\/span> new<\/span> BadAttributeValueExpException(<\/span>null<\/span>);<\/span> <\/span><\/span>\/\/ 构造调用链对象 <\/span><\/span><\/span>\/\/ ... <\/span><\/span><\/span>\/\/ 触发JNDI注入 <\/span><\/span><\/span><\/code><\/pre>6.2 JDBC注入POC<\/h3> \/\/ 示例代码结构 <\/span><\/span><\/span><\/span>BadAttributeValueExpException bad =<\/span> new<\/span> BadAttributeValueExpException(<\/span>null<\/span>);<\/span> <\/span><\/span>\/\/ 构造调用链对象 <\/span><\/span><\/span>\/\/ ... <\/span><\/span><\/span>\/\/ 触发JDBC注入 <\/span><\/span><\/span><\/code><\/pre>7. 防御建议<\/h2> 升级Vaadin到安全版本<\/li> 限制反序列化操作<\/li> 使用安全的白名单机制<\/li> 监控JNDI和JDBC相关操作<\/li> <\/ol> 8. 工具使用技巧<\/h2> Tabby使用要点<\/strong>:<\/p> 使用封装好的sink点进行筛选<\/li> 对复杂调用关系添加手动别名<\/li> 合理设置查询条件和深度<\/li> 结合代码审计验证自动分析结果<\/li> <\/ol> 9. 总结<\/h2> 通过Tabby工具分析Vaadin框架，成功挖掘出两条新的反序列化利用链，分别导致JNDI注入和JDBC注入漏洞。关键在于处理接口调用关系和验证参数可控性，这为类似框架的反序列化漏洞挖掘提供了参考方法。<\/p>