反序列化漏洞注入内存马核心技术原理详解<\/h1>

概述<\/h2>
本文档深入剖析通过Java反序列化漏洞注入内存马（Memory Shell）的核心技术原理。关键在于理解如何利用Java的动态特性，在程序运行时动态加载并执行恶意字节码，实现“无文件落地”的攻击。<\/p>

核心概念解析<\/h2>

1. Java语言特性：编译-解释型语言<\/h3>

Java并非纯编译或纯解释型语言，而是编译-解释型语言<\/strong>：<\/p>

编译期<\/strong>：.java<\/code>源代码通过javac<\/code>编译为字节码（.class<\/code>文件）<\/li>
运行期<\/strong>：JVM加载并解释执行字节码这种特性限制了直接执行动态代码的能力，但提供了其他动态执行机制。<\/li> <\/ul> 2. 单向代码执行链 (One-Way Code Execution Chain)<\/h3> 典型代表<\/strong>：Commons Collections (CC)链的后半部分<\/li> 两种执行方式<\/strong>： TemplatesImpl<\/code>动态加载字节码<\/li> InvokerTransformer<\/code>反射调用链<\/li> <\/ol> <\/li> 局限性<\/strong>：执行路径固定，无法中途交互或修改<\/li> 返回值无法供后续代码使用<\/li> 需要处理访问限制（如通过反射setAccessible(true)<\/code>）<\/li> 无法直接获取请求上下文（request\/response）<\/strong>，因此不适合直接用于内存马注入<\/li> <\/ul> <\/li> <\/ul> 3. 动态代码上下文执行 (Dynamic Code Context Execution)<\/h3> 这是实现内存马注入的关键：让恶意代码在程序运行时动态执行，从而：<\/p> 获取当前执行环境的上下文（如Servlet容器的request<\/code>和response<\/code>）<\/li> 实现与Web容器的交互<\/li> 达到“无文件落地”的隐蔽效果<\/li> <\/ul> 核心技术：动态类加载机制<\/h2> 1. 类加载器 (ClassLoader) 基础<\/h3> Java类加载过程：<\/p> 加载<\/strong>：根据全限定名定位并读取类字节码<\/li> 链接<\/strong>：转换为JVM可执行格式<\/li> 初始化<\/strong>：执行静态变量赋值和静态代码块（注意：此时不会触发构造函数<\/strong>）<\/li> <\/ol> 2. 关键方法：defineClass<\/h3> ClassLoader.defineClass<\/code>方法：<\/p> protected<\/span> final<\/span> Class<?><\/span> defineClass(<\/span>String name,<\/span> byte<\/span>[]<\/span> b,<\/span> int<\/span> off,<\/span> int<\/span> len)<\/span> <\/span><\/span><\/code><\/pre> 功能<\/strong>：将字节数组转换为Class对象<\/li> 参数<\/strong>： name<\/code>: 类的二进制名称（如com.example.MaliciousClass<\/code>）<\/li> b<\/code>: 存储类数据的字节数组（通常是.class文件内容）<\/li> off<\/code>: 起始偏移量<\/li> len<\/code>: 数据长度<\/li> <\/ul> <\/li> 限制<\/strong>：该方法为protected<\/code>，需要找到可公开访问的替代方案<\/li> <\/ul> 具体技术实现方案<\/h2> 方案一：利用TemplatesImpl加载字节码<\/h3> 技术原理<\/h4> 位置<\/strong>：com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl<\/code><\/li> 优势<\/strong>：JDK自带，无需额外依赖<\/li> 关键代码<\/strong>：在TemplatesImpl<\/code>类的getTransletInstance()<\/code>方法中（约559行）会调用newInstance()<\/code>实例化对象<\/li> 要求<\/strong>：内存马类必须提供无参构造函数<\/strong>，因为newInstance()<\/code>要求无参构造<\/li> <\/ul> 利用方式<\/h4> 将内存马字节码嵌入反序列化链中（如CC链、K1\/K2链等），通过TemplatesImpl加载执行<\/p> 方案二：BCEL ClassLoader (JDK8u251前有效)<\/h3> 技术原理<\/h4> 位置<\/strong>：com.sun.org.apache.bcel.internal.util.ClassLoader<\/code><\/li> 触发条件<\/strong>：类名以`<\/li> <\/ul> \[BCEL \]<\/span><\/p> `开头<\/p> 加载过程<\/strong>：去除`<\/li> <\/ol> <\/li> <\/ul> \[BCEL \]<\/span><\/p> 前缀 2. 解码BCEL格式字节码 3. 通过<\/code>createClass`方法解析并返回Class对象<\/p> 重要注意事项<\/h4> 仅触发静态代码块<\/strong>：BCEL加载不会调用构造函数，只执行静态初始化块<\/li> 内存马设计<\/strong>：必须将核心逻辑写在静态代码块<\/strong>中而非构造函数内<\/li> 典型应用<\/strong>：Fastjson反序列化漏洞的不出网利用<\/li> <\/ul> 方案三：Groovy ClassLoader (需外部依赖)<\/h3> 技术原理<\/h4> 位置<\/strong>：groovy.lang.GroovyClassLoader<\/code><\/li> 特性<\/strong>：继承自URLClassLoader<\/code>，提供public的defineClass<\/code>方法<\/li> 初始化<\/strong>：无参构造函数从线程上下文获取最顶层类加载器<\/li> <\/ul> 优势<\/h4> 可直接访问public的defineClass方法，便于嵌入反序列化利用链<\/p> 表达式与脚本引擎组合利用<\/h2> 1. 脚本引擎 (Script Engine)<\/h3> 核心类<\/strong>：javax.script.ScriptEngineManager<\/code><\/li> 方法<\/strong>：getEngineByName()<\/code>获取引擎，eval()<\/code>执行脚本<\/li> 现状<\/strong>：JDK15+移除了"Nashorn"引擎，需注意环境兼容性<\/li> <\/ul> 2. EL表达式注入<\/h3> 基本利用<\/h4> \/\/ 通过反射执行命令 <\/span><\/span><\/span><\/span>${<\/span>''<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>'<\/span>).<\/span>getMethod<\/span>(<\/span>'<\/span>exec','<\/span>'<\/span>.<\/span>getClass<\/span>()).<\/span>invoke<\/span>(<\/span>''<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>'<\/span>).<\/span>getMethod<\/span>(<\/span>'<\/span>getRuntime'<\/span>).<\/span>invoke<\/span>(<\/span>null<\/span>),<\/span> '<\/span>calc'<\/span>)}<\/span> <\/span><\/span><\/code><\/pre>内存马注入Payload<\/h4> \/\/ 加载字节码并实例化 <\/span><\/span><\/span><\/span>${<\/span>''<\/span>.<\/span>getClass<\/span>().<\/span>forName<\/span>(<\/span>'<\/span>java.<\/span>lang<\/span>.<\/span>ClassLoader<\/span>'<\/span>).<\/span>getMethod<\/span>(<\/span>'<\/span>defineClass'<\/span>,<\/span> ''<\/span>.<\/span>getClass<\/span>(),<\/span> [].<\/span>class<\/span>.<\/span>getClass<\/span>(),<\/span> Integer.<\/span>TYPE<\/span>,<\/span> Integer.<\/span>TYPE<\/span>).<\/span>invoke<\/span>(<\/span>Thread.<\/span>currentThread<\/span>().<\/span>getContextClassLoader<\/span>(),<\/span> byteArray,<\/span> 0<\/span>,<\/span> byteArray.<\/span>length<\/span>).<\/span>newInstance<\/span>()}<\/span> <\/span><\/span><\/code><\/pre>3. SpEL表达式注入 (Spring环境)<\/h3> 基本利用链<\/h4> T(<\/span>java.<\/span>lang<\/span>.<\/span>Runtime<\/span>).<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>'<\/span>calc'<\/span>)<\/span> <\/span><\/span><\/code><\/pre>内存马注入<\/h4> \/\/ 需要与org.springframework.expression同包 <\/span><\/span><\/span><\/span>T(<\/span>org.<\/span>springframework<\/span>.<\/span>expression<\/span>.<\/span>ExpressionParser<\/span>).<\/span>parseExpression<\/span>(...)<\/span> <\/span><\/span><\/code><\/pre>高版本JDK注意事项<\/h4> Module限制<\/strong>：需要绕过JDK9+的模块访问限制<\/li> 参考方案<\/strong>：使用MethodHandle等技术绕过<\/li> 大字节码处理<\/strong>：如内存马过大，需进行GZIP压缩+Base64编码<\/li> <\/ul> 利用IOUtils的简化方案<\/h4> 如果环境中存在org.apache.commons.io.IOUtils<\/code>：<\/p> \/\/ 解压并加载字节码 <\/span><\/span><\/span><\/span>T(<\/span>org.<\/span>apache<\/span>.<\/span>commons<\/span>.<\/span>io<\/span>.<\/span>IOUtils<\/span>).<\/span>toString<\/span>(<\/span>T(<\/span>java.<\/span>util<\/span>.<\/span>zip<\/span>.<\/span>GZIPInputStream<\/span>).<\/span>newInstance<\/span>(<\/span>T(<\/span>java.<\/span>io<\/span>.<\/span>ByteArrayInputStream<\/span>).<\/span>newInstance<\/span>(<\/span>T(<\/span>java.<\/span>util<\/span>.<\/span>Base64<\/span>).<\/span>getDecoder<\/span>().<\/span>decode<\/span>(<\/span>'<\/span>BASE64编码的压缩字节码'<\/span>)),<\/span> "UTF-8"<\/span>)<\/span> <\/span><\/span><\/code><\/pre>字节码压缩脚本示例<\/h4> \/\/ 示例压缩代码 <\/span><\/span><\/span><\/span>import<\/span> java.util.zip.*;<\/span> <\/span><\/span>import<\/span> java.util.Base64;<\/span> <\/span><\/span> <\/span><\/span>public<\/span> class<\/span> Compressor<\/span> {<\/span> <\/span><\/span> public<\/span> static<\/span> String compress<\/span>(<\/span>byte<\/span>[]<\/span> data)<\/span> throws<\/span> Exception {<\/span> <\/span><\/span> ByteArrayOutputStream bos =<\/span> new<\/span> ByteArrayOutputStream();<\/span> <\/span><\/span> GZIPOutputStream gzip =<\/span> new<\/span> GZIPOutputStream(<\/span>bos);<\/span> <\/span><\/span> gzip.<\/span>write<\/span>(<\/span>data);<\/span> <\/span><\/span> gzip.<\/span>close<\/span>();<\/span> <\/span><\/span> return<\/span> Base64.<\/span>getEncoder<\/span>().<\/span>encodeToString<\/span>(<\/span>bos.<\/span>toByteArray<\/span>());<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>总结<\/h2> 反序列化注入内存马的核心原理可概括为："在运行期间使程序通过其动态特性加载任意字节码"<\/strong>。<\/p> 关键技术点<\/h3> 理解单向执行链与动态执行的差异<\/strong>：前者只能执行固定代码，后者可获取上下文<\/li> 掌握类加载机制<\/strong>：特别是defineClass<\/code>方法的各种公开访问方式<\/li> 区分初始化时机<\/strong>：静态代码块 vs 构造函数在不同加载器中的表现<\/li> 适应环境限制<\/strong>：JDK版本、依赖存在性、模块系统限制等<\/li> 处理大小限制<\/strong>：通过压缩技术处理大尺寸内存马字节码<\/li> <\/ol> 实践建议<\/h3> 根据目标环境选择合适的技术方案（TemplatesImpl\/BCEL\/Groovy\/表达式）<\/li> 精心设计内存马结构，确保在目标初始化机制下能正确执行<\/li> 考虑绕过现代JD安全限制的技术方案<\/li> 测试不同环境下的兼容性和稳定性<\/li> <\/ul> 通过掌握这些核心技术原理，安全研究人员可以更深入地理解Java反序列化漏洞的高级利用方式，并有效防御这类攻击。<\/p>

反序列化漏洞注入内存马核心技术原理详解<\/h1>

概述<\/h2> 本文档深入剖析通过Java反序列化漏洞注入内存马（Memory Shell）的核心技术原理。关键在于理解如何利用Java的动态特性，在程序运行时动态加载并执行恶意字节码，实现“无文件落地”的攻击。<\/p>

核心概念解析<\/h2>

核心技术：动态类加载机制<\/h2>

具体技术实现方案<\/h2>

方案一：利用TemplatesImpl加载字节码<\/h3>

利用方式<\/h4> 将内存马字节码嵌入反序列化链中（如CC链、K1\/K2链等），通过TemplatesImpl加载执行<\/p>

方案二：BCEL ClassLoader (JDK8u251前有效)<\/h3>

方案三：Groovy ClassLoader (需外部依赖)<\/h3>

优势<\/h4> 可直接访问public的defineClass方法，便于嵌入反序列化利用链<\/p>

表达式与脚本引擎组合利用<\/h2>

2. EL表达式注入<\/h3>

3. SpEL表达式注入 (Spring环境)<\/h3>

总结<\/h2> 反序列化注入内存马的核心原理可概括为："在运行期间使程序通过其动态特性加载任意字节码"<\/strong>。<\/p>

概述<\/h2>
本文档深入剖析通过Java反序列化漏洞注入内存马（Memory Shell）的核心技术原理。关键在于理解如何利用Java的动态特性，在程序运行时动态加载并执行恶意字节码，实现“无文件落地”的攻击。<\/p>

利用方式<\/h4>
将内存马字节码嵌入反序列化链中（如CC链、K1\/K2链等），通过TemplatesImpl加载执行<\/p>

优势<\/h4>
可直接访问public的defineClass方法，便于嵌入反序列化利用链<\/p>

总结<\/h2>
反序列化注入内存马的核心原理可概括为："在运行期间使程序通过其动态特性加载任意字节码"<\/strong>。<\/p>