Hessian反序列化流程及漏洞分析<\/h1>

前言<\/h2>

Hessian是一个基于RPC的高性能二进制远程传输协议。在Java中，Hessian的使用方法非常简单，它使用Java语言接口定义了远程对象，并通过序列化和反序列化将对象转为Hessian二进制格式进行传输。<\/p>

项目依赖：<\/p>

<!-- hessian --><\/span>
<\/span><\/span><dependency><\/span>
<\/span><\/span>    <groupId><\/span>com.caucho<\/groupId><\/span>
<\/span><\/span>    <artifactId><\/span>hessian<\/artifactId><\/span>
<\/span><\/span>    <version><\/span>4.0.63<\/version><\/span>
<\/span><\/span><\/dependency><\/span>
<\/span><\/span><\/code><\/pre>反序列化流程分析<\/h2>
序列化<\/h3>
HessianOutput和Hessian2Output都是抽象类AbstractHessianOutput的实现，二者的writeObject方法一致：<\/p>
public<\/span> void<\/span> writeObject<\/span>(<\/span>Object object)<\/span> throws<\/span> IOException {<\/span>
<\/span><\/span>    if<\/span> (<\/span>object ==<\/span> null<\/span>)<\/span> {<\/span>
<\/span><\/span>        this<\/span>.<\/span>writeNull<\/span>();<\/span>
<\/span><\/span>    }<\/span> else<\/span> {<\/span>
<\/span><\/span>        Serializer serializer =<\/span> this<\/span>.<\/span>_serializerFactory<\/span>.<\/span>getSerializer<\/span>(<\/span>object.<\/span>getClass<\/span>());<\/span>
<\/span><\/span>        serializer.<\/span>writeObject<\/span>(<\/span>object,<\/span> this<\/span>);<\/span>
<\/span><\/span>    }<\/span>
<\/span><\/span>}<\/span>
<\/span><\/span><\/code><\/pre>

调用com.caucho.hessian.io.SerializerFactory#getSerializer<\/code>方法获取对应序列化器：<\/p>

先判断_cachedSerializerMap<\/code>中是否有缓存，如果有直接取出<\/li>
没有缓存就调用com.caucho.hessian.io.SerializerFactory#loadSerializer<\/code>方法进行加载序列化器<\/li>
最后将得到的序列化器存储到缓存的map中<\/li>
<\/ul>
<\/li>

在loadSerializer<\/code>方法中：<\/p>

判断当前传入的Object是否属于某些已定义好的接口<\/li>
如果存在，就生成对应的序列化器<\/li>
如果不存在，就调用getDefaultSerializer<\/code>方法针对自定义类加载默认的序列化器<\/li>
<\/ul>
<\/li>

在getDefaultSerializer<\/code>方法中：<\/p>

如果_isEnableUnsafeSerializer<\/code>属性为true，并且传入的class没有writeReplace方法<\/li>
那么会创造一个UnsafeSerializer来作为序列化器<\/li>
<\/ul>
<\/li>

UnsafeSerializer#writeObject<\/code>方法：<\/p>

兼容Hessian\/Hessian2两种协议的数据结构<\/li>
调用writeObjectBegin<\/code>方法开始写入数据头<\/li>
根据返回的ref来确定后续序列化数据的情况<\/li>
<\/ul>
<\/li>
<\/ol>
Hessian1和Hessian2的区别<\/strong>：<\/p>

HessianOutput会直接调用父类的writeObjectBegin<\/code>方法，直接写入77作为Map的标志，固定返回-2<\/li>
Hessian2Output重写了writeObjectBegin<\/code>方法，可以写自定义类型的数据，返回ref为-1<\/li>
<\/ul>
小结<\/strong>：<\/p>

二者在序列化自定义类的过程中均使用UnsafeSerializer序列化器<\/li>
Hessian1默认将序列化结果处理成一个Map<\/li>
Hessian2可以序列化自定义的类<\/li>
<\/ul>
反序列化<\/h3>
HessianInput和Hessian2Input都是抽象类AbstractHessianInput的实现类。<\/p>
Hessian1<\/h4>


HessianInput#readObject()<\/code>方法中读取序列化结果的第一个字符为77，即代表map<\/p>
<\/li>

调用SerializerFactory#readMap<\/code>方法：<\/p>

先调用getDeserializer(String)<\/code>方法获取反序列化器<\/li>
由于是最外层封装的map，获取的type为空，默认返回null<\/li>
直接初始化一个MapDeserializer实例类<\/li>
调用MapDeserializer#readMap<\/code>方法来反序列化内部的数据<\/li>
<\/ul>
<\/li>

对于内部其他类型的类：<\/p>

调用loadSerializedClass<\/code>方法根据类名加载对应的类<\/li>
调用getDeserializer(Class)<\/code>方法获取对应的序列化器<\/li>
调用loadDeserializer<\/code>方法加载默认的自定义类<\/li>
<\/ul>
<\/li>
<\/ol>
Hessian2<\/h4>


以自定义类Person反序列化为例：<\/p>

Hessian2Input#readObject()<\/code>方法中获取对应的tag为67<\/li>
调用readObjectDefinition<\/code>方法<\/li>
调用getObjectDeserializer<\/code>方法获取序列化器<\/li>
最终获取到一个UnsafeDeserializer序列化器<\/li>
<\/ul>
<\/li>

readObjectDefinition<\/code>方法：<\/p>

获取自定义类的相关属性<\/li>
将其封装为def属性<\/li>
<\/ul>
<\/li>

UnsafeDeserializer#readObject<\/code>方法：<\/p>

将封装好的字段通过unSafe进行反射赋值<\/li>
instantiate<\/code>使用unsafe的allocateInstance<\/code>直接创建类实例<\/li>
<\/ul>
<\/li>
<\/ol>
MapDeserializer<\/h4>

Hessian 1.0默认最外层会使用MapDeserializer来继续反序列化数据<\/li>
Hessian 2.0需要指定传入的类的类型为Map，才会使用MapDeserializer来反序列化数据<\/li>
<\/ul>
MapDeserializer#readMap<\/code>方法：<\/p>

创建一个map类型<\/li>
通过循环判断in.isEnd()<\/code>检查输入流是否结束<\/li>
在循环中，通过in.readObject()<\/code>方法读取键值对，并通过map.put进行赋值<\/li>
调用in.readEnd<\/code>结束map的反序列化赋值<\/li>
<\/ol>
注意<\/strong>：<\/p>

对于HashMap会触发key.hashCode()<\/code>、key.equals(k)<\/code><\/li>
对于TreeMap会触发key.compareTo()<\/code><\/li>
<\/ul>
漏洞分析<\/h2>
Hessian反序列化Map类型的对象的时候，会自动调用其put方法，而put方法会产生各种相关利用链打法。<\/p>
Rome链利用<\/h3>
典型利用是通过HashMap中key会触发hash方法，进而触发key.hashcode()：<\/p>

触发EqualsBean的hashcode方法<\/li>
触发toStringBean的toString方法<\/li>
toString方法会反射调用该类所有的无参get方法，从而实现漏洞利用<\/li>
<\/ol>
TemplatesImpl失败原因分析<\/h3>
单独打TemplatesImpl失败原因：<\/p>

在ToStringBean#toString<\/code>方法中，TemplatesImpl#defineTransletClasses<\/code>方法报错空指针<\/li>
_tfactory<\/code>没有被反序列化赋值，为null<\/li>
原因：UnsafeDeserializer<\/code>序列化器会判断类的属性是否为Transient或static类型<\/li>
_tfactory<\/code>恰好为transient类型修饰，无法被反序列化<\/li>
<\/ol>
二次反序列化打TemplatesImpl<\/h3>
使用SignedObject类进行二次反序列化：<\/p>

SignedObject内部content变量可以存储原生序列化的字节流<\/li>
构造函数中将传入的object类通过原生序列化转化为字节流存储到content变量<\/li>
getObject方法又会对content属性进行原生的反序列化<\/li>
SignedObject的getObject方法也满足ToStringBean#toString方法，满足Rome链的使用情况<\/li>
<\/ol>
JdbcRowSetImpl链<\/h3>
JdbcRowSetImpl链分析：<\/p>

在getParameterMetaData<\/code>方法中会调用connect方法<\/li>
connect方法会对传入的dataSourceName值进行lookup查询，触发JNDI注入<\/li>
由于存在getDataBaseMetaData的无参get方法，可以用于触发ToStringBean的toString方法<\/li>
<\/ol>
高版本JDK注意事项<\/strong>：<\/p>

需要手动设置trustURLCodebase的相关属性<\/li>
JdbcRowSetImpl类的相关属性获取存在问题<\/li>
需要先调用setMatchColumn<\/code>方法对strMatchColumns属性进行赋值，避免空指针报错<\/li>
<\/ol>
小结<\/h2>

分析了Hessian以及Hessian2两种序列化和反序列化的流程<\/li>
Hessian会针对传入的map类型的变量进行反序列化时执行map.put方法，可作为source触发点<\/li>
演示了二次反序列化和JdbcRowSetImpl两个利用链<\/li>
<\/ol>
Reference<\/h2>

Hessian 反序列化知一二 - 素十八<\/li>
从源码角度分析hessian特别的原因<\/li>
2022虎符CTF-Java部分<\/li>
Java安全学习——Hessian反序列化漏洞 - 枫のBlog<\/li>
浅聊Java反序列化之玩转Hessian反序列化的前置知识<\/li>
hessian 反序列化-CSDN博客<\/li>
<\/ol>

Hessian反序列化流程及漏洞分析<\/h1>

反序列化流程分析<\/h2>

反序列化<\/h3> HessianInput和Hessian2Input都是抽象类AbstractHessianInput的实现类。<\/p>

漏洞分析<\/h2> Hessian反序列化Map类型的对象的时候，会自动调用其put方法，而put方法会产生各种相关利用链打法。<\/p>

反序列化<\/h3>
HessianInput和Hessian2Input都是抽象类AbstractHessianInput的实现类。<\/p>

漏洞分析<\/h2>
Hessian反序列化Map类型的对象的时候，会自动调用其put方法，而put方法会产生各种相关利用链打法。<\/p>