RASP绕过技术深度分析与实践指南<\/h1>

1. RASP技术概述<\/h2>

1.1 RASP定义与特点<\/h3>

RASP(Runtime Application Self-Protection，运行时应用自我保护)是一种应用安全防护技术，它将安全防护逻辑嵌入到应用程序内部，在应用运行时实时监测并阻断攻击。<\/p>

核心特点<\/strong>：<\/p>

检测能力精准，误报率低<\/li>
具备0Day漏洞发现能力<\/li>
相比传统WAF更深入应用内部<\/li>
通过Java Instrumentation API实现类插桩<\/li> <\/ul>
1.2 RASP检测流程<\/h3>
以Springboot + SpEL + ProcessBuilder.start为例：<\/p>

服务器收到请求，进入hook点<\/p>

标记当前线程为请求线程<\/li>
开启检测开关<\/li>
缓存请求和响应对象<\/li> <\/ul> <\/li>

执行ProcessImpl创建逻辑<\/p> <\/li>

进入ProcessBuilderHook点<\/p>

Hook了ProcessImpl和UNIXProcess类的创建<\/li>
判断当前线程是否为请求线程<\/li> <\/ul> <\/li>

检测逻辑<\/p>

传递堆栈信息、方法名、方法参数给检测插件<\/li>
使用恶意命令执行来源名单进行匹配<\/li>
检测反射调用<\/li> <\/ul> <\/li>

根据检测结果决定拦截或放行<\/p> <\/li>

拦截处理<\/p>

输出报警日志<\/li>
302跳转或重置响应内容<\/li>
输出拦截页面JS脚本<\/li> <\/ul> <\/li> <\/ol>
2. RASP绕过技术详解<\/h2>
2.1 请求线程绕过<\/h3>
原理<\/strong>：
RASP通过判断当前线程是否为请求线程来决定是否进行检测。如果能在非请求线程中执行恶意操作，则可绕过检测。<\/p>
实现方法<\/strong>：<\/p>

寻找能创建新线程并执行危险方法的类<\/p>

如java.util.concurrent.Executors.newSingleThreadExecutor()<\/code><\/li>
获取ThreadPoolExecutor<\/code>对象，通过submit<\/code>执行Runnable<\/code><\/li> <\/ul> <\/li>
寻找可执行恶意操作的Runnable<\/code>实现类<\/p> 如Springboot中的org.springframework.scheduling.support.ScheduledMethodRunnable<\/code><\/li> 其run<\/code>方法通过反射调用任意方法<\/li> <\/ul> <\/li> <\/ol> 示例对比<\/strong>：<\/p> 被拦截的调用栈：<\/p> _jspService org.springframework.expression.spel.support.ReflectiveMethodExecutor.execute ProcessImpl.start <\/code><\/pre> <\/li> 绕过的调用栈：在新线程中执行，不包含请求线程标记<\/p> <\/li> <\/ul> 2.2 Hook点组合绕过<\/h3> 绕过点分析<\/strong>：<\/p> 方法hook绕过 - 执行不在RASP拦截hook类中的方法<\/li> 调用栈检测绕过 - 执行恶意操作但调用栈中无已知命令执行来源<\/li> <\/ol> 绕过条件<\/strong>：<\/p> 找到可调用任意方法的source<\/li> 找到不受限制的sink<\/li> <\/ul> 云环境限制<\/strong>：<\/p> 禁止反射调用：Class.forName().getMethod().invoke()<\/code><\/li> 禁止静态方法调用：A.b()<\/code><\/li> 禁止链式调用：new A().b().c()<\/code><\/li> <\/ul> 2.3 具体绕过实现<\/h3> 2.3.1 利用PostgreSQL漏洞(CVE-2022-21724)<\/h4> 步骤<\/strong>：<\/p> 获取当前applicationContext<\/code>对象<\/li> 利用ClassPathXmlApplicationContext<\/code>加载恶意XML执行代码<\/li> <\/ol> Payload示例<\/strong>：<\/p> \/\/ 通过DriverManager.getConnection触发(静态方法调用被禁用) <\/span><\/span><\/span>\/\/ 改用PgConnection构造方法 <\/span><\/span><\/span><\/span>Properties props =<\/span> new<\/span> Properties();<\/span> <\/span><\/span>\/\/ 设置恶意参数 <\/span><\/span><\/span><\/span>new<\/span> PgConnection(<\/span>new<\/span> HostSpec[]{...},<\/span> props)<\/span> <\/span><\/span><\/code><\/pre>2.3.2 文件写入绕过<\/h4> 两种写入方法<\/strong>：<\/p> FileOutputStream.write<\/code> - 接近native方法，hook严格<\/li> NIO API (Files.newOutputStream<\/code>) - 调用链长，hook点可能在后端<\/li> <\/ol> NIO API调用链<\/strong>：<\/p> Files.newOutputStream -> FileSystemProvider.newOutputStream -> 底层实现 <\/code><\/pre> 绕过思路<\/strong>：<\/p> 通过XML手动实现文件写入逻辑<\/li> 避免直接触发RASP hook点<\/li> <\/ul> 2.3.3 命令执行绕过<\/h4> 限制<\/strong>：<\/p> 直接系统命令执行被严格拦截<\/li> 反射调用命令执行被拦截<\/li> <\/ul> 替代方案<\/strong>：<\/p> 利用classloader加载字节码风险：操作classloader易被检测<\/li> <\/ul> <\/li> 上传JSP\/class文件让系统加载更隐蔽，利用系统自身机制<\/li> <\/ul> <\/li> <\/ol> JSP魔改技术<\/strong>：<\/p> 修改JSP代码结构避免检测<\/li> 结合线程切换清除栈信息<\/li> <\/ul> 3. 防御建议<\/h2> 3.1 对开发者的建议<\/h3> 避免使用危险函数和反射调用<\/li> 严格控制文件上传和动态加载<\/li> 定期更新依赖库修复已知漏洞<\/li> <\/ul> 3.2 对安全人员的建议<\/h3> 监控非请求线程中的可疑操作<\/li> 加强对NIO API等长调用链的监控<\/li> 关注XML解析等可能引入代码执行的场景<\/li> 实施多层防御，不依赖单一RASP防护<\/li> <\/ul> 4. 总结<\/h2> RASP绕过技术核心在于混淆执行上下文和利用未被完全防护的调用链。通过分析RASP的检测逻辑和hook点，可以找到多种绕过路径。防御方需要不断完善检测规则，实施深度防御策略，才能有效应对日益复杂的绕过技术。<\/p>