使用CodeQL挖掘Hutool利用链 - 详细教学文档<\/h1>

1. Hutool利用链背景知识<\/h2>
Hutool是一个Java工具包，其中包含BeanUtil工具类可以调用对象的getter方法。攻击者可以利用这一特性构造特定的对象，通过getter方法触发危险操作。<\/p>

关键发现：<\/h3>

Hutool的BeanUtil会调用对象的getter方法<\/li>
只要类中存在至少一个public字段或public getter方法，就会触发getter调用<\/li>

可利用的getter方法需要满足：

方法没有参数 (method.getParameterCount() == 0<\/code>)<\/li>

方法以"get"或"is"开头<\/li>
<\/ul>
<\/li>
<\/ul>
2. CodeQL规则编写<\/h2>
2.1 基础规则编写<\/h3>
初始版本的CodeQL规则：<\/p>
from Method m
where 
  m.getName().matches("get%") or m.getName().matches("is%") and
  m.getParameterCount() == 0 and
  m.isPublic()
select m
<\/code><\/pre>
2.2 改进规则<\/h3>
初始规则存在问题：<\/p>

会遗漏继承自抽象类的子类方法<\/li>
需要包含抽象类的方法<\/li>
<\/ul>
改进后的规则：<\/p>
from Method m
where 
  (m.getName().matches("get%") or m.getName().matches("is%")) and
  m.getParameterCount() == 0 and
  m.isPublic() and
  m.getDeclaringType().isNormalClass()
select m
<\/code><\/pre>
3. 可利用方法分析<\/h2>
3.1 JDBC利用链<\/h3>
关键类：DSFactory.getDataSource()<\/code><\/p>
调用链：<\/p>

DSFactory.getDataSource()<\/code><\/li>
createDataSource()<\/code><\/li>
newConnection()<\/code><\/li>
getConnection()<\/code> (JDBC连接)<\/li>
<\/ol>
具体实现类：<\/p>

PooledDSFactory<\/code><\/li>
JndiDSFactory<\/code> (还可用于JNDI注入)<\/li>
<\/ul>
PooledDSFactory分析：<\/h4>

构造函数调用newConnection()<\/code><\/li>
最终调用getConnection()<\/code>建立JDBC连接<\/li>
可利用JDBC连接字符串实现RCE<\/li>
<\/ol>
JndiDSFactory分析：<\/h4>

getJndiDs()<\/code>方法触发JNDI连接<\/li>
可用于JNDI注入攻击<\/li>
<\/ol>
3.2 实际利用问题<\/h3>
在尝试利用时发现的问题：<\/p>

Hutool在匹配getter方法时有严格逻辑<\/li>
方法名必须严格匹配"get"+字段名的格式<\/li>
例如：字段名为dataSource<\/code>，则方法名必须为getDataSource<\/code><\/li>
<\/ul>
4. 实际利用案例<\/h2>
4.1 失败利用尝试<\/h3>
尝试构造的POC：<\/p>
\/\/ 需要Setting对象
<\/span><\/span><\/span>\/\/ 但运行时未触发预期效果
<\/span><\/span><\/span><\/code><\/pre>失败原因：<\/p>

getter方法名不严格匹配"get"+字段名的格式<\/li>
Hutool内部isMatchGetter<\/code>方法检查失败<\/li>
<\/ul>
4.2 成功利用方式<\/h3>
更有效的利用方式：<\/p>

结合其他组件的setter\/getter逻辑<\/li>
例如通过H2数据库的JDBC连接实现RCE<\/li>
<\/ul>
调用栈示例：<\/p>
...
getConnection()
newConnection()
createDataSource()
getDataSource()
...
<\/code><\/pre>
5. 完整挖掘流程总结<\/h2>

使用改进后的CodeQL规则扫描所有可能的getter方法<\/li>
重点关注返回敏感对象或执行敏感操作的方法<\/li>
检查方法所在类的继承关系<\/li>
验证方法是否会被Hutool实际调用<\/li>
构造完整的利用链，考虑所有依赖条件<\/li>
测试实际利用效果，调试解决匹配问题<\/li>
<\/ol>
6. 防御建议<\/h2>

避免使用Hutool的BeanUtil处理不可信对象<\/li>
检查所有getter方法的安全性<\/li>
限制JDBC连接字符串等敏感操作<\/li>
禁用不必要的JNDI功能<\/li>
使用最新版本Hutool并关注安全更新<\/li>
<\/ol>
7. 扩展思考<\/h2>

其他可能触发危险操作的getter方法模式<\/li>
结合其他Java反序列化漏洞的利用方式<\/li>
自动化识别整个利用链的CodeQL规则改进<\/li>
静态分析与动态测试结合的挖掘方法<\/li>
<\/ol>

使用CodeQL挖掘Hutool利用链 - 详细教学文档<\/h1>

1. Hutool利用链背景知识<\/h2> Hutool是一个Java工具包，其中包含BeanUtil工具类可以调用对象的getter方法。攻击者可以利用这一特性构造特定的对象，通过getter方法触发危险操作。<\/p>

2. CodeQL规则编写<\/h2>

3. 可利用方法分析<\/h2>

4. 实际利用案例<\/h2>

7. 扩展思考<\/h2> 其他可能触发危险操作的getter方法模式<\/li> 结合其他Java反序列化漏洞的利用方式<\/li> 自动化识别整个利用链的CodeQL规则改进<\/li> 静态分析与动态测试结合的挖掘方法<\/li> <\/ol>

1. Hutool利用链背景知识<\/h2>
Hutool是一个Java工具包，其中包含BeanUtil工具类可以调用对象的getter方法。攻击者可以利用这一特性构造特定的对象，通过getter方法触发危险操作。<\/p>

7. 扩展思考<\/h2>

其他可能触发危险操作的getter方法模式<\/li>
结合其他Java反序列化漏洞的利用方式<\/li>
自动化识别整个利用链的CodeQL规则改进<\/li>
静态分析与动态测试结合的挖掘方法<\/li> <\/ol>