Jackson二次反序列化分析与利用<\/h1>

1. Jackson反序列化基础<\/h2>

1.1 Jackson反序列化特点<\/h3>
Jackson在CTF比赛中被广泛使用的原因：<\/p>
Spring Boot框架自带Jackson依赖<\/li>
反序列化过程没有内置黑名单限制<\/li>
可以调用任意getter方法<\/li> <\/ul>
1.2 基本利用方式<\/h3>
常用方法：<\/p>
ObjectMapper#<\/span>writeValueAsString \/\/ 序列化bean对象为字符串
<\/span><\/span><\/span><\/code><\/pre>2. 二次反序列化绕过技术<\/h2>
2.1 SignedObject类介绍<\/h3>
java.security.SignedObject<\/code>是一个用于创建真实运行时对象的类，特点：<\/p>

包含另一个Serializable对象<\/li>
实现了二次序列化\/反序列化机制<\/li>
<\/ul>
关键方法：<\/p>
\/\/ 构造函数
<\/span><\/span><\/span><\/span>public<\/span> SignedObject<\/span>(<\/span>Serializable object,<\/span> ...)<\/span> {<\/span>
<\/span><\/span>    this<\/span>.<\/span>content<\/span> =<\/span> serialize(<\/span>object);<\/span> \/\/ 内部进行序列化
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span>
<\/span><\/span>\/\/ getObject方法
<\/span><\/span><\/span><\/span>public<\/span> Object getObject<\/span>()<\/span> throws<\/span>...<\/span> {<\/span>
<\/span><\/span>    return<\/span> deserialize(<\/span>this<\/span>.<\/span>content<\/span>);<\/span> \/\/ 内部进行反序列化
<\/span><\/span><\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>2.2 二次反序列化原理<\/h3>
当存在黑名单过滤时：<\/p>

构造一个恶意的SignedObject对象<\/li>
黑名单只检查第一层反序列化<\/li>
SignedObject.getObject()触发第二层反序列化，绕过黑名单<\/li>
<\/ol>
3. Jackson调用getter方法分析<\/h2>
3.1 调用链分析<\/h3>
调用路径：<\/p>
POJONode.toString() 
→ BaseJsonNode.toString() 
→ InternalNodeUtils.nodeToString() 
→ ObjectMapper.writeValueAsString()
<\/code><\/pre>
关键点：<\/p>

writeValueAsString()<\/code>会调用对象的所有getter方法<\/li>
可以利用任意getter方法触发恶意操作<\/li>
<\/ul>
3.2 典型利用链<\/h3>
常用触发方式：<\/p>

通过TemplatesImpl#getOutputProperties<\/code>执行命令<\/li>
其他能够通过getter触发恶意操作的类<\/li>
<\/ol>
4. 实战案例：DASCTF 2025<\/h2>
4.1 题目分析<\/h3>
限制条件：<\/p>

反序列化长度限制<\/li>
重写resolveClass<\/code>方法实现黑名单<\/li>
黑名单包含：

BadAttributeValueExpException<\/code>链<\/li>
Spring AOP链相关类<\/li>
<\/ul>
<\/li>
<\/ol>
目标：<\/p>

删除\/a<\/code>文件后访问\/flag<\/code>获取flag<\/li>
<\/ul>
4.2 绕过方案<\/h3>
方案1：传统二次反序列化<\/h4>

使用EventListenerList<\/code>触发toString<\/li>
通过createObjWithoutConstructor<\/code>减少字节：

实例化对象时所有属性为null<\/li>
通过反射设置必要属性<\/li>
<\/ul>
<\/li>
使用InflaterInputStream<\/code>压缩payload<\/li>
删除恶意类调试信息进一步缩减<\/li>
<\/ol>
问题：最终长度仍超过限制(约1300字节)<\/p>
方案2：优化利用Jackson特性<\/h4>
关键发现：<\/p>

writeValueAsString<\/code>会序列化所有对象并调用getter<\/li>
不需要依赖SignedObject#getObject<\/code>触发恶意readObject<\/li>
<\/ul>
优化链：<\/p>

SignedObject#getObject<\/code>返回TemplatesImpl<\/code>类<\/li>
Jackson序列化时自动调用TemplatesImpl#getOutputProperties<\/code><\/li>
触发命令执行<\/li>
<\/ol>
优势：<\/p>

最终payload仅1272字节<\/li>
满足题目长度限制<\/li>
<\/ul>
4.3 完整利用步骤<\/h3>

构造恶意TemplatesImpl<\/code>对象<\/li>
将其包装在SignedObject<\/code>中<\/li>
构建触发toString的调用链<\/li>
压缩payload<\/li>
发送payload触发反序列化<\/li>
删除\/a<\/code>文件<\/li>
访问\/flag<\/code>获取flag<\/li>
<\/ol>
5. 防御建议<\/h2>
针对Jackson反序列化攻击的防御措施：<\/p>

实现严格的黑名单过滤<\/li>
限制反序列化深度<\/li>
禁用不必要的getter方法<\/li>
使用最新版本的Jackson<\/li>
对输入进行严格验证和过滤<\/li>
<\/ol>
6. 总结<\/h2>
Jackson二次反序列化的关键点：<\/p>

利用SignedObject<\/code>绕过单层黑名单<\/li>
通过Jackson自动调用getter的特性简化利用链<\/li>
多种技术组合缩减payload长度<\/li>
理解底层机制才能有效优化攻击链<\/li>
<\/ol>
这种技术在CTF和实际渗透中都有广泛应用价值，理解其原理对于攻防双方都至关重要。<\/p>