AWDP-TimeCapsule漏洞分析与利用完整指南<\/h1>

漏洞概述<\/h2>

这是一个关于2025年国赛暨长城杯AWDP比赛中TimeCapsule题目的完整漏洞分析与利用方案。题目涉及Java反序列化漏洞和AES加密绕过，主要利用点包括：<\/p>

存在反序列化漏洞的路由：\/api\/capsule\/import<\/code><\/li>
使用JDK8+Jackson环境，存在Jackson反序列化链<\/li>
通过二次反序列化绕过SafeObjectInputStream限制<\/li>

利用AES\/CTR模式漏洞伪造加密数据<\/li>
<\/ol>
漏洞修复方案<\/h2>
Fix方案<\/strong>：

直接删除com.ctf.util.FieldGetterHandler<\/code>类即可修复漏洞。<\/p>
漏洞利用分析<\/h2>
1. 反序列化入口点<\/h3>
审计代码发现存在反序列化的路由：<\/p>
\/api\/capsule\/import
<\/code><\/pre>
环境依赖：<\/p>

JDK8<\/li>
Jackson<\/li>
<\/ul>
2. 反序列化限制<\/h3>
题目中ObjectInputStream<\/code>做了限制：<\/p>

只能反序列化ctf<\/code>包下的类<\/li>
或java.<\/code>开头的类<\/li>
或数组类型<\/li>
<\/ul>
3. 寻找Gadget链<\/h3>
题目中存在一个代理类FieldGetterHandler<\/code>，其invoke<\/code>方法可以执行任意getter方法。例如：<\/p>
proxyInstance.<\/span>anyMethod<\/span>(<\/span>a)<\/span>  \/\/ 会执行a.getXxx()
<\/span><\/span><\/span><\/code><\/pre>利用思路：<\/p>


使用SignedObject<\/code>类的getObject<\/code>方法进行二次反序列化<\/p>

SignedObject<\/code>位于java.security<\/code>包，满足限制条件<\/li>
getObject<\/code>方法可以对任意数据进行反序列化<\/li>
<\/ul>
<\/li>

触发机制：<\/p>

使用PriorityQueue<\/code>的compare<\/code>方法触发代理调用<\/li>
将comparator<\/code>设为代理对象proxyInstance<\/code><\/li>
将比较对象x<\/code>设为signedObject<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
4. 绕过AES验证<\/h3>
加密方式：AES\/CTR\/nopadding<\/code><\/p>
攻击方法：<\/p>

利用已知明文R和对应密文E，可以还原出keystream<\/li>
使用还原的keystream可以伪造相同长度明文的密文<\/li>
<\/ol>
具体步骤：<\/p>

构造一个与恶意序列化数据长度相同(3607字节)的TimeCapsule<\/code>对象<\/li>
通过以下路由获取加密数据：

\/api\/capsules<\/code> - 创建capsule<\/li>
\/api\/capsules\/{id}\/export<\/code> - 获取加密后的capsule数据<\/li>
<\/ul>
<\/li>
使用还原的keystream伪造恶意序列化数据的密文<\/li>
<\/ol>
5. 完整利用流程<\/h3>

注册用户获取密钥<\/li>
构造恶意序列化数据(PriorityQueue链)<\/li>
创建相同长度的合法capsule获取加密数据<\/li>
计算keystream并伪造恶意数据的密文<\/li>
通过\/api\/capsule\/import<\/code>触发反序列化<\/li>
<\/ol>
技术细节<\/h2>
1. 反序列化链构造<\/h3>
利用PriorityQueue<\/code>触发链：<\/p>
PriorityQueue.<\/span>readObject<\/span>()<\/span> 
<\/span><\/span>  -><\/span> heapify()<\/span> 
<\/span><\/span>    -><\/span> siftDown()<\/span> 
<\/span><\/span>      -><\/span> siftDownUsingComparator()<\/span> 
<\/span><\/span>        -><\/span> comparator.<\/span>compare<\/span>(<\/span>x,<\/span> y)<\/span>  \/\/ 触发代理调用
<\/span><\/span><\/span><\/code><\/pre>2. AES\/CTR攻击原理<\/h3>
CTR模式加密公式：<\/p>
C = P ⊕ E(K, IV)
<\/code><\/pre>
其中：<\/p>

C: 密文<\/li>
P: 明文<\/li>
K: 密钥<\/li>
IV: 初始化向量<\/li>
E: 加密函数<\/li>
<\/ul>
攻击者已知一对(P, C)，可以计算：<\/p>
E(K, IV) = P ⊕ C
<\/code><\/pre>
然后对于新的明文P'，可以构造：<\/p>
C' = P' ⊕ E(K, IV)
<\/code><\/pre>
3. 长度控制<\/h3>
需要精确控制序列化数据的长度(约3607字节)，可以通过调整content<\/code>字段实现。<\/p>
防御建议<\/h2>

避免使用不安全的反序列化<\/li>
使用安全的ObjectInputStream实现<\/li>
避免使用不安全的加密模式(如CTR)<\/li>
对用户输入进行严格验证<\/li>
移除不必要的危险类(如FieldGetterHandler)<\/li>
<\/ol>
总结<\/h2>
该题目综合考察了：<\/p>

Java反序列化漏洞利用<\/li>
二次反序列化绕过技巧<\/li>
加密算法攻击<\/li>
长度扩展攻击<\/li>
<\/ol>
在实际比赛中，需要快速识别反序列化入口，分析限制条件，并找到合适的绕过方法。同时需要理解加密算法的弱点，才能完成完整的攻击链。<\/p>

AWDP-TimeCapsule漏洞分析与利用完整指南<\/h1>

漏洞修复方案<\/h2>
Fix方案<\/strong>：
直接删除`com.ctf.util.FieldGetterHandler<\/code>类即可修复漏洞。<\/p>`

技术细节<\/h2>

3. 长度控制<\/h3>
需要精确控制序列化数据的长度(约3607字节)，可以通过调整`content<\/code>字段实现。<\/p>`

AWDP-TimeCapsule漏洞分析与利用完整指南<\/h1>

漏洞修复方案<\/h2> Fix方案<\/strong>： 直接删除com.ctf.util.FieldGetterHandler<\/code>类即可修复漏洞。<\/p>

技术细节<\/h2>

3. 长度控制<\/h3> 需要精确控制序列化数据的长度(约3607字节)，可以通过调整content<\/code>字段实现。<\/p>

漏洞修复方案<\/h2>
Fix方案<\/strong>：
直接删除`com.ctf.util.FieldGetterHandler<\/code>类即可修复漏洞。<\/p>`

3. 长度控制<\/h3>
需要精确控制序列化数据的长度(约3607字节)，可以通过调整`content<\/code>字段实现。<\/p>`