Java反序列化之YSO中的Spring链分析及利用<\/h1>

前言<\/h2>
本文详细分析Spring框架中的两条反序列化利用链（Spring1和Spring2），以及相关的利用技巧。分析基于Java 8u65版本。<\/p>

Spring1链分析<\/h2>

适用范围<\/h3>

Spring版本：3.0.0到4.1.4<\/li> <\/ul>

依赖链<\/h3>

SerializableTypeWrapper.MethodInvokeTypeProvider.readObject()
  -> getType()
    -> 动态代理调用
      -> AnnotationInvocationHandler.invoke()
        -> AutowireUtils.ObjectFactoryDelegatingInvocationHandler.invoke()
          -> TemplatesImpl.newTransformer()
<\/code><\/pre>
关键点分析<\/h3>


入口点<\/strong>：SerializableTypeWrapper.MethodInvokeTypeProvider.readObject()<\/code><\/p>

通过反射完成方法调用<\/li>
目标是调用TemplatesImpl.newTransformer()<\/code>实现任意类加载<\/li>
<\/ul>
<\/li>

getType()方法<\/strong><\/p>

返回this.result<\/code>，但result是transient不可序列化<\/li>
需要通过动态代理控制返回值<\/li>
<\/ul>
<\/li>

动态代理利用<\/strong><\/p>

使用AnnotationInvocationHandler<\/code>作为InvocationHandler<\/li>
通过控制memberValues<\/code>属性返回特定对象<\/li>
需要返回同时实现Type<\/code>和Templates<\/code>接口的动态代理对象<\/li>
<\/ul>
<\/li>

关键InvocationHandler<\/strong><\/p>

AutowireUtils.ObjectFactoryDelegatingInvocationHandler<\/code><\/li>
关键代码：return method.invoke(this.objectFactory.getObject(), args);<\/code><\/li>
需要控制this.objectFactory.getObject()<\/code>返回TemplatesImpl<\/code>对象<\/li>
<\/ul>
<\/li>
<\/ol>
利用步骤<\/h3>

构造TemplatesImpl<\/code>对象<\/li>
创建动态代理对象：

第一层代理：实现Type<\/code>和Templates<\/code>接口<\/li>
第二层代理：控制getObject()<\/code>方法返回TemplatesImpl<\/code>对象<\/li>
<\/ul>
<\/li>
通过反射调用newTransformer()<\/code>方法<\/li>
<\/ol>
调试过程<\/h3>

调用getType()<\/code>方法时跳转到InvocationHandler.invoke()<\/code><\/li>
从memberValues<\/code>中获取getType<\/code>的值（实现Type<\/code>和Templates<\/code>接口的代理对象）<\/li>
通过ReflectionUtils.findMethod<\/code>获取newTransformer<\/code>方法<\/li>
调用invokeMethod<\/code>时进入ObjectFactoryDelegatingInvocationHandler.invoke()<\/code><\/li>
通过代理对象获取TemplatesImpl<\/code>实例<\/li>
最终调用TemplatesImpl.newTransformer()<\/code>实现任意类加载<\/li>
<\/ol>
Spring2链分析<\/h2>
依赖链<\/h3>
SerializableTypeWrapper$MethodInvokeTypeProvider.readObject()
  -> getType()
    -> 动态代理调用
      -> JdkDynamicAopProxy.invoke()
        -> AopUtils.invokeJoinpointUsingReflection()
          -> TemplatesImpl.newTransformer()
<\/code><\/pre>
关键点分析<\/h3>


与Spring1的区别<\/strong><\/p>

使用JdkDynamicAopProxy<\/code>代替ObjectFactoryDelegatingInvocationHandler<\/code><\/li>
证明ObjectFactoryDelegatingInvocationHandler<\/code>不是唯一选择<\/li>
<\/ul>
<\/li>

JdkDynamicAopProxy.invoke()<\/strong><\/p>

关键代码：retVal = AopUtils.invokeJoinpointUsingReflection(target, method, args);<\/code><\/li>
target<\/code>来自targetSource.getTarget()<\/code><\/li>
targetSource<\/code>通过AdvisedSupport.setTarget()<\/code>设置<\/li>
<\/ul>
<\/li>

利用方式<\/strong><\/p>

设置target<\/code>为TemplatesImpl<\/code>对象<\/li>
最终反射调用TemplatesImpl.newTransformer()<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
调试过程<\/h3>

调用invokeMethod<\/code>时进入JdkDynamicAopProxy.invoke()<\/code><\/li>
获取target<\/code>（TemplatesImpl<\/code>对象）<\/li>
通过invokeJoinpointUsingReflection<\/code>反射调用newTransformer<\/code>方法<\/li>
<\/ol>
攻击面拓展<\/h2>
替代TemplatesImpl的方案<\/h3>
当TemplatesImpl<\/code>类被禁用时，可以考虑与JNDI注入结合实现远程类加载。<\/p>
利用类：com.sun.jndi.ldap.LdapAttribute<\/h3>


关键方法<\/strong>：getAttributeDefinition()<\/code><\/p>

内部调用lookup()<\/code><\/li>
继承自BasicAttribute<\/code><\/li>
实现Attribute<\/code>接口<\/li>
<\/ul>
<\/li>

优势<\/strong><\/p>

方法定义在接口中（符合动态代理要求）<\/li>
可以触发JNDI查找<\/li>
<\/ul>
<\/li>
<\/ol>
利用步骤<\/h3>

构造LdapAttribute对象<\/li>
设置恶意LDAP服务器<\/li>
通过动态代理触发getAttributeDefinition()<\/code>方法<\/li>
触发远程类加载<\/li>
<\/ol>
总结<\/h2>


核心原理<\/strong><\/p>

两条链都依赖动态代理机制<\/li>
通过多层代理控制方法调用<\/li>
最终目标是实现任意代码执行<\/li>
<\/ul>
<\/li>

学习建议<\/strong><\/p>

先掌握动态代理原理再学习这两条链<\/li>
理解Java反射机制<\/li>
熟悉Spring框架内部实现<\/li>
<\/ul>
<\/li>

扩展思路<\/strong><\/p>

可以探索其他InvocationHandler的利用方式<\/li>
寻找更多可替代TemplatesImpl的类<\/li>
结合其他漏洞利用技术（如JNDI注入）<\/li>
<\/ul>
<\/li>

防御建议<\/strong><\/p>

升级Spring框架版本<\/li>
限制反序列化操作<\/li>
使用安全防护产品检测恶意序列化数据<\/li>
<\/ul>
<\/li>
<\/ol>

Java反序列化之YSO中的Spring链分析及利用<\/h1>

前言<\/h2> 本文详细分析Spring框架中的两条反序列化利用链（Spring1和Spring2），以及相关的利用技巧。分析基于Java 8u65版本。<\/p>

Spring1链分析<\/h2>

Spring2链分析<\/h2>

攻击面拓展<\/h2>

替代TemplatesImpl的方案<\/h3> 当TemplatesImpl<\/code>类被禁用时，可以考虑与JNDI注入结合实现远程类加载。<\/p>

前言<\/h2>
本文详细分析Spring框架中的两条反序列化利用链（Spring1和Spring2），以及相关的利用技巧。分析基于Java 8u65版本。<\/p>

替代TemplatesImpl的方案<\/h3>
当`TemplatesImpl<\/code>类被禁用时，可以考虑与JNDI注入结合实现远程类加载。<\/p>`