基于Hessian2反序列化挖掘Spring原生利用链技术分析<\/h1>

0x00 漏洞背景与准备<\/h2>

漏洞环境要求<\/h3>

Hessian版本<\/strong>：最新4.0.66版本（当前版本通杀）<\/li>
Spring-context版本<\/strong>：

<6.0.0版本可直接利用<\/li>
≥6.0.0版本需要额外绕过手法<\/li> <\/ul> <\/li>
JDK限制<\/strong>：不严格，可通过绕过方法突破<\/li> <\/ul>
核心漏洞点<\/h3>
漏洞位于SimpleJndiBeanFactory<\/code>类的getBean(String name)<\/code>方法，该方法会触发JNDI注入。<\/p>
0x01 漏洞分析<\/h2> 1. 初始漏洞点分析<\/h3> SimpleJndiBeanFactory.getBean()<\/code>方法：<\/p> 接受一个参数name<\/code>（可设置为恶意JNDI服务端地址）<\/li> 默认会调用同类的lookup<\/code>方法<\/li> lookup<\/code>方法会触发JNDI请求<\/li> <\/ul> 关键限制<\/strong>：<\/p> SimpleJndiBeanFactory<\/code>类未实现Serializable<\/code>接口<\/li> 无法直接用于Java原生反序列化<\/li> 但Hessian2反序列化不要求实现该接口<\/li> <\/ul> 2. 调用链构造过程<\/h3> 第一步：寻找getBean<\/code>调用点<\/h4> 发现TargetBeanObjectFactory<\/code>类的getObject()<\/code>方法：<\/p> 可调用SimpleJndiBeanFactory.getBean()<\/code><\/li> 需要设置两个成员： beanFactory<\/code>：设置为SimpleJndiBeanFactory<\/code>实例<\/li> targetBeanName<\/code>：设置为JNDI服务端地址<\/li> <\/ul> <\/li> <\/ul> 构造方法<\/strong>：通过ObjectFactoryCreatingFactoryBean.createInstance()<\/code>方法构造TargetBeanObjectFactory<\/code>类并赋值成员。<\/p> 第二步：寻找突破口<\/h4> 发现ObjectFactoryDelegatingInvocationHandler<\/code>类：<\/p> 实现了InvocationHandler<\/code>接口<\/li> 可被封装到动态代理类<\/li> 当代理类触发任意方法（除equals()<\/code>、hashCode()<\/code>、toString()<\/code>外）时，会调用invoke<\/code>方法<\/li> <\/ul> invoke<\/code>方法关键逻辑：<\/p> 满足条件时会触发ObjectFactory.getObject()<\/code>方法<\/li> 可将objectFactory<\/code>成员设置为上一步构造的TargetBeanObjectFactory<\/code><\/li> <\/ul> 第三步：寻找触发点<\/h4> 选择TreeMap<\/code>作为触发点：<\/p> TreeMap.put()<\/code>会调用k1.compareTo(k2)<\/code><\/li> 如果k1<\/code>是恶意动态代理类，会触发ObjectFactoryDelegatingInvocationHandler.invoke()<\/code><\/li> 从而形成完整调用链<\/li> <\/ul> 0x02 完整利用链构造<\/h2> 利用链流程<\/h3> Hessian2反序列化 → TreeMap.put() → 动态代理.compareTo() → ObjectFactoryDelegatingInvocationHandler.invoke() → TargetBeanObjectFactory.getObject() → SimpleJndiBeanFactory.getBean() → JNDI注入 <\/code><\/pre> POC关键代码结构<\/h3> 构造恶意SimpleJndiBeanFactory<\/code>实例<\/li> 通过ObjectFactoryCreatingFactoryBean<\/code>构造TargetBeanObjectFactory<\/code><\/li> 创建ObjectFactoryDelegatingInvocationHandler<\/code>并设置objectFactory<\/code><\/li> 创建动态代理对象<\/li> 将代理对象作为key放入TreeMap<\/code><\/li> 序列化TreeMap<\/code>并通过Hessian2发送<\/li> <\/ol> 0x03 防御与修复建议<\/h2> 修复方案<\/h3> 升级Spring-context到6.0.0及以上版本<\/li> 对Hessian2反序列化进行白名单限制<\/li> 禁用不必要的JNDI服务<\/li> 设置com.sun.jndi.rmi.object.trustURLCodebase<\/code>为false<\/li> <\/ol> 检测方法<\/h3> 监控异常JNDI请求<\/li> 检查Hessian2反序列化过程中的异常TreeMap操作<\/li> 关注动态代理类的创建和使用<\/li> <\/ol> 0x04 扩展思考<\/h2> 可能的变种利用<\/h3> 尝试其他触发点替代TreeMap<\/code><\/li> 探索其他实现了InvocationHandler<\/code>的类<\/li> 结合其他Spring组件的反序列化特性<\/li> <\/ol> 相关技术延伸<\/h3> Hessian2反序列化特性研究<\/li> Spring框架动态代理机制<\/li> JNDI注入的多种利用方式<\/li> <\/ol> 附录：参考链接<\/h2> 原文链接<\/a><\/li> Java Chains工具使用<\/li> Hessian2官方文档<\/li> Spring安全公告<\/li> <\/ul>

基于Hessian2反序列化挖掘Spring原生利用链技术分析<\/h1>

0x00 漏洞背景与准备<\/h2>

核心漏洞点<\/h3> 漏洞位于SimpleJndiBeanFactory<\/code>类的getBean(String name)<\/code>方法，该方法会触发JNDI注入。<\/p>

2. 调用链构造过程<\/h3>

0x02 完整利用链构造<\/h2>

0x03 防御与修复建议<\/h2>

0x04 扩展思考<\/h2>

相关技术延伸<\/h3> Hessian2反序列化特性研究<\/li> Spring框架动态代理机制<\/li> JNDI注入的多种利用方式<\/li> <\/ol> 附录：参考链接<\/h2> 原文链接<\/a><\/li> Java Chains工具使用<\/li> Hessian2官方文档<\/li> Spring安全公告<\/li> <\/ul>

附录：参考链接<\/h2> 原文链接<\/a><\/li> Java Chains工具使用<\/li> Hessian2官方文档<\/li> Spring安全公告<\/li> <\/ul>

核心漏洞点<\/h3>
漏洞位于`SimpleJndiBeanFactory<\/code>类的getBean(String name)<\/code>方法，该方法会触发JNDI注入。<\/p>`

相关技术延伸<\/h3>

Hessian2反序列化特性研究<\/li>
Spring框架动态代理机制<\/li>
JNDI注入的多种利用方式<\/li> <\/ol>
附录：参考链接<\/h2>

原文链接<\/a><\/li>
Java Chains工具使用<\/li>
Hessian2官方文档<\/li>
Spring安全公告<\/li> <\/ul>

附录：参考链接<\/h2>

原文链接<\/a><\/li>
Java Chains工具使用<\/li>
Hessian2官方文档<\/li>
Spring安全公告<\/li> <\/ul>