HessianServlet与HessianServiceExporter漏洞利用分析<\/h1>

1. 背景介绍<\/h2>

Hessian是一种轻量级的RPC框架，在Java开发中广泛使用。目前常见的Hessian服务暴露方式主要有两种：<\/p>

HessianServlet<\/strong>：com.caucho.hessian.server.HessianServlet<\/code><\/li>

HessianServiceExporter<\/strong>：org.springframework.remoting.caucho.HessianServiceExporter<\/code><\/li> <\/ol> 现有的漏洞利用工具生成的payload往往针对原生Hessian反序列化场景，无法直接用于这两种服务暴露方式，因为它们在解析Hessian序列化数据时会进行额外的协议头判断。<\/p> 2. 常见错误分析<\/h2> 当使用现有工具生成的payload攻击这两种服务时，通常会遇到以下错误：<\/p> 协议头不匹配错误<\/strong>：服务端期望特定的协议头格式<\/li> 版本校验错误<\/strong>：Hessian2.0服务需要正确的版本标识<\/li> <\/ol> 3. 组件访问特征<\/h2> 3.1 HessianServiceExporter<\/h3> 典型服务暴露代码：<\/p> @Bean<\/span>(<\/span>name =<\/span> "\/remoting\/AccountService"<\/span>)<\/span> <\/span><\/span>public<\/span> HessianServiceExporter accountService<\/span>()<\/span> {<\/span> <\/span><\/span> HessianServiceExporter exporter =<\/span> new<\/span> HessianServiceExporter();<\/span> <\/span><\/span> exporter.<\/span>setService<\/span>(<\/span>new<\/span> AccountServiceImpl());<\/span> <\/span><\/span> exporter.<\/span>setServiceInterface<\/span>(<\/span>AccountService.<\/span>class<\/span>);<\/span> <\/span><\/span> return<\/span> exporter;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>访问特征：<\/p> 通过Spring MVC暴露的HTTP接口<\/li> 通常以\/remoting\/*<\/code>等形式出现在应用路由中<\/li> <\/ul> 3.2 HessianServlet<\/h3> 访问特征：<\/p> 直接继承HessianServlet<\/code>的HTTP服务<\/li> 通常配置在web.xml中<\/li> <\/ul> 4. 协议头分析<\/h2> 4.1 HessianServiceExporter协议头要求<\/h3> POST请求进入invoke<\/code>方法后，会首先检查输入流的第一个字节：<\/p> 第一位必须是以下三种之一<\/strong>：<\/p> 'H' (0x48)<\/li> 'C' (0x43)<\/li> 'c' (0x63)<\/li> <\/ul> <\/li> 不同协议头的处理逻辑<\/strong>：<\/p> <\/li> <\/ol> 'H' (Hessian2.0)<\/h4> 检查第二位是否为0x02（版本号）<\/li> 检查第四位是否为'C' (0x43)<\/li> 有效payload格式：\x48\x02\x00\x43<\/code><\/li> <\/ul> 'C' (Hessian2.0简化)<\/h4> 只需第一位为'C'<\/li> 有效payload格式：\x43<\/code><\/li> <\/ul> 'c' (Hessian1.0)<\/h4> 检查第二位和第三位<\/li> 需要额外添加头部：\x48\x00\x03abc<\/code><\/li> 有效payload格式：\x63\x02\x00\x48\x00\x03abc<\/code><\/li> <\/ul> 4.2 HessianServlet协议头要求<\/h3> 与HessianServiceExporter类似，但有细微差别：<\/p> 第一位必须是以下两种之一<\/strong>：<\/p> 'r' (0x72)<\/li> 'H' (0x48)<\/li> 'c' (0x63)<\/li> <\/ul> <\/li> 不同协议头的处理逻辑<\/strong>：<\/p> <\/li> <\/ol> 'H' (Hessian2.0)<\/h4> 检查第二位是否为0x02（版本号）<\/li> 检查第四位是否为'C' (0x43)<\/li> 有效payload格式：\x48\x02\x00\x43<\/code><\/li> <\/ul> 'c' (Hessian1.0)<\/h4> 检查第二位和第三位<\/li> 需要额外添加头部：\x48\x00\x03abc<\/code><\/li> 有效payload格式：\x63\x02\x00\x48\x00\x03abc<\/code><\/li> <\/ul> 5. 反序列化流程分析<\/h2> 5.1 HessianServiceExporter流程<\/h3> 请求进入HessianServiceExporter.invoke()<\/code><\/li> 读取输入流第一个字节进行协议头判断<\/li> 根据协议头创建对应的输入流： 'H'\/'C'：Hessian2Input<\/code><\/li> 'c'：HessianInput<\/code><\/li> <\/ul> <\/li> 进入readCall<\/code>方法，检查第四位是否为'C'<\/li> 调用skeleton.invoke(in, out)<\/code>进行反序列化<\/li> <\/ol> 5.2 HessianServlet流程<\/h3> 请求进入HessianServlet.service()<\/code><\/li> 读取输入流前三个字节进行协议头判断<\/li> 根据协议头创建对应的输入流<\/li> 后续流程与HessianServiceExporter类似<\/li> <\/ol> 6. 有效payload构造<\/h2> 6.1 针对HessianServiceExporter<\/h3> Hessian2.0<\/strong>：<\/p> \x48\x02\x00\x43 + [原生Hessian2.0 payload] <\/code><\/pre> <\/li> 简化Hessian2.0<\/strong>：<\/p> \x43 + [原生Hessian2.0 payload] <\/code><\/pre> <\/li> Hessian1.0<\/strong>：<\/p> \x63\x02\x00\x48\x00\x03abc + [原生Hessian1.0 payload] <\/code><\/pre> <\/li> <\/ol> 6.2 针对HessianServlet<\/h3> Hessian2.0<\/strong>：<\/p> \x48\x02\x00\x43 + [原生Hessian2.0 payload] <\/code><\/pre> <\/li> Hessian1.0<\/strong>：<\/p> \x63\x02\x00\x48\x00\x03abc + [原生Hessian1.0 payload] <\/code><\/pre> <\/li> <\/ol> 7. 原生Hessian与封装Hessian的区别<\/h2> 原生Hessian反序列化（如xxl-job）：<\/p> HessianInput input =<\/span> new<\/span> HessianInput(<\/span>stream);<\/span> <\/span><\/span>input.<\/span>readObject<\/span>();<\/span> <\/span><\/span><\/code><\/pre> 无协议头检查<\/li> 直接接受原生Hessian序列化流<\/li> <\/ul> 封装Hessian（HessianServlet\/HessianServiceExporter）：<\/p> 有严格的协议头检查<\/li> 需要添加特定前缀才能进入反序列化流程<\/li> <\/ul> 8. 协议头总结表<\/h2> 协议头<\/th> ASCII<\/th> HEX<\/th> 版本<\/th> 输入流<\/th> 输出流<\/th> 适用场景<\/th> 备注<\/th> <\/tr> <\/thead> 'H'<\/td> 72<\/td> \x48\x02\x00\x43<\/td> Hessian 2.0<\/td> Hessian2Input<\/td> Hessian2Output<\/td> 两者通用<\/td> Hessian2.0稳定利用<\/td> <\/tr> 'C'<\/td> 67<\/td> \x43<\/td> Hessian 2.0<\/td> Hessian2Input<\/td> Hessian2Output<\/td> 仅HessianServiceExporter<\/td> 简化版<\/td> <\/tr> 'c'<\/td> 99<\/td> \x63\x02\x00\x48\x00\x03abc<\/td> Hessian 1.0<\/td> HessianInput<\/td> Hessian(2)Output<\/td> 两者通用<\/td> 根据版本选择输出流<\/td> <\/tr> <\/tbody> <\/table> 9. 实际利用建议<\/h2> 优先使用'H'开头的Hessian2.0 payload，兼容性最好<\/li> 对于HessianServiceExporter，可以尝试简化版的'C'开头payload<\/li> Hessian1.0利用限制较多，不建议优先考虑<\/li> 在实际测试中，可以通过修改现有工具的payload生成逻辑，添加相应的协议头前缀<\/li> <\/ol> 10. 防御建议<\/h2> 升级Hessian到最新版本<\/li> 对Hessian服务进行访问控制<\/li> 考虑使用白名单机制限制可反序列化的类<\/li> 监控异常的Hessian协议头请求<\/li> <\/ol>

协议头<\/th>	ASCII<\/th>	HEX<\/th>	版本<\/th>	输入流<\/th>	输出流<\/th>	适用场景<\/th>	备注<\/th> <\/tr> <\/thead>
'H'<\/td>	72<\/td>	\x48\x02\x00\x43<\/td>	Hessian 2.0<\/td>	Hessian2Input<\/td>	Hessian2Output<\/td>	两者通用<\/td>	Hessian2.0稳定利用<\/td> <\/tr>
'C'<\/td>	67<\/td>	\x43<\/td>	Hessian 2.0<\/td>	Hessian2Input<\/td>	Hessian2Output<\/td>	仅HessianServiceExporter<\/td>	简化版<\/td> <\/tr>
'c'<\/td>	99<\/td>	\x63\x02\x00\x48\x00\x03abc<\/td>	Hessian 1.0<\/td>	HessianInput<\/td>	Hessian(2)Output<\/td>	两者通用<\/td>	根据版本选择输出流<\/td> <\/tr> <\/tbody> <\/table> 9. 实际利用建议<\/h2> 优先使用'H'开头的Hessian2.0 payload，兼容性最好<\/li> 对于HessianServiceExporter，可以尝试简化版的'C'开头payload<\/li> Hessian1.0利用限制较多，不建议优先考虑<\/li> 在实际测试中，可以通过修改现有工具的payload生成逻辑，添加相应的协议头前缀<\/li> <\/ol> 10. 防御建议<\/h2> 升级Hessian到最新版本<\/li> 对Hessian服务进行访问控制<\/li> 考虑使用白名单机制限制可反序列化的类<\/li> 监控异常的Hessian协议头请求<\/li> <\/ol>