Java 反序列化漏洞利用与绕过技术专题解析<\/h1>

1. 反序列化链挖掘分析<\/h2>

1.1 环境背景<\/h3>

2025软件系统安全赛初赛Java环境<\/li>
Java版本：Java 17<\/li>

关键文件：DBController.java、User.java、Utils.java<\/li> <\/ul>

1.2 漏洞分析<\/h3>
环境中存在`getConnection<\/code>方法，但其URL从配置文件读取，无法直接利用JDBC反序列化漏洞。环境中存在ojdbc依赖，提供了Oracle JDBC反序列化攻击面。<\/p>`

1.3 可利用类<\/h3>
以下Oracle类可用于构造反序列化链：<\/p>

OracleCachedRowSet<\/code><\/li>
OracleFilteredRowSet<\/code><\/li>
OracleJoinRowSet<\/code><\/li>
OracleWebRowSet<\/code><\/li>
<\/ul>
1.4 攻击限制与绕过<\/h3>
OracleCachedRowSet.getConnectionInternal<\/code>中存在validateJNDIName<\/code>检测，必须使用RMI方式进行攻击。<\/p>
1.5 Payload构造关键<\/h3>

为OracleCachedRowSet<\/code>寻找合适的接口代理：通过逐个尝试实现的接口，最终确定使用RowSetInternal<\/code>接口<\/li>
出口处理：可使用XString<\/code>类，存在Xalan依赖时提供六种不同打法<\/li>
原生JDK的XString<\/code>需要添加编译参数：--add-exports java.xml\/com.sun.org.apache.xpath.internal.objects=ALL-UNNAMED<\/code><\/li>
<\/ul>
2. Java 17模块化问题处理<\/h2>
2.1 模块化基础处理<\/h3>

对所有自定义类进行patchModule<\/code>操作<\/li>
将偏移修改为Object.class<\/code>的偏移以避免模块化限制<\/li>
<\/ul>
2.2 IDEA配置参数<\/h3>
编译时参数设置位置：<\/h4>
Settings → Build, Execution, Deployment → Compiler → Java Compiler → Additional command line parameters
<\/code><\/pre>
运行时参数设置位置：<\/h4>
Run\/Debug Configurations → Modify options → Add VM options
<\/code><\/pre>
2.3 模块化相关参数详解<\/h3>
--add-exports参数<\/h4>

用途：当直接调用JDK 17内部API创建类或使用静态方法时使用<\/li>
格式：--add-exports $MODULE\/$PACKAGE=ALL-UNNAMED<\/code><\/li>
作用：将指定模块的包导出给所有未命名模块<\/li>
<\/ul>
--add-opens参数<\/h4>

用途：解决反射访问报错问题（反射是运行时多态，不受--add-exports影响）<\/li>
格式：--add-opens $MODULE\/$PACKAGE=ALL-UNNAMED<\/code><\/li>
注意：patchModule<\/code>对反射限制无绕过作用<\/li>
<\/ul>
--add-modules参数<\/h4>

用途：将可选、非必要模块添加到当前模块的模块图<\/li>
使用场景：仅在出现相关报错提示时使用<\/li>
<\/ul>
3. JNDI注入攻击技术<\/h2>
3.1 Java 17下的限制<\/h3>

TemplatesImpl<\/code>相关利用链在Java 17中完全失效<\/li>
环境中存在tomcat-jdbc<\/code>但缺少相关数据库依赖<\/li>
tomcat-embed-core-10.3.31<\/code>存在，但原生JNDI注入最高只支持10.1.0-M14<\/li>
<\/ul>
3.2 组合攻击方案<\/h3>
使用batik低版本和tomcat-el组合进行攻击：<\/p>
3.2.1 恶意Jar包制作<\/h4>

实现initializeEventListeners<\/code>方法<\/li>
添加MANIFEST.MF文件，位置和内容如下：<\/li>
<\/ol>
位置：src\/main\/resources\/META-INF\/MANIFEST.MF
内容：Manifest-Version: 1.0
<\/code><\/pre>
3.2.2 项目配置<\/h4>

修改项目JDK版本为Java 17<\/li>
设置编译参数<\/li>
设置运行参数<\/li>
<\/ul>
3.2.3 服务端启动<\/h4>
需要同时启动三个服务：<\/p>

RMIServer<\/code><\/li>
XMLServer<\/code><\/li>
JarServer<\/code><\/li>
<\/ol>
设置反序列化链的JNDI路径为：rmi:\/\/127.0.0.1:1097\/remoteobj<\/code><\/p>
3.3 攻击原理分析<\/h3>

Spring中beanfactory<\/code>通过调用属性对应的setter方法进行自动注入<\/li>
setURI<\/code>方法调用loadSVGDocument<\/code>进行解析<\/li>
在BaseScriptingEnvironment.loadScripts<\/code>方法的loadScript<\/code>中包含关键执行逻辑<\/li>
<\/ul>
3.4 Jar包构造的两种方式<\/h3>

继承自ScriptHandler<\/code>并重写run<\/code>方法<\/li>
继承自EventListenerInitializer<\/code>并重写initializeEventListeners<\/code>方法<\/li>
<\/ol>
4. 其他攻击向量<\/h2>
4.1 Jackson+LdapAttribute反序列化<\/h3>

利用链：Jackson<\/code> + LdapAttribute<\/code>反序列化<\/li>
需要自行编写LDAP服务器<\/li>
构建时VM options配置要求<\/li>
<\/ul>
4.2 YAML反序列化<\/h3>

理论上可打通但测试未成功<\/li>
版本可能存在兼容性问题<\/li>
<\/ul>
5. Jackson新时代利用链<\/h2>
5.1 简化方案<\/h3>
最新研究发现可直接使用Jackson链实现通杀，无需复杂绕过：<\/p>
参考文章：https:\/\/xz.aliyun.com\/news\/18701<\/p>
5.2 优势<\/h3>

避免复杂的模块化配置<\/li>
绕过Java 17的安全限制<\/li>
提供更稳定的攻击路径<\/li>
<\/ul>
6. 实践注意事项<\/h2>
6.1 环境配置<\/h3>

确保所有依赖包版本兼容<\/li>
正确配置编译和运行时参数<\/li>
多次尝试以提高成功率<\/li>
<\/ul>
6.2 攻击调试<\/h3>

注意错误信息分析<\/li>
合理使用调试工具<\/li>
关注Java 17特有的安全报错<\/li>
<\/ul>
6.3 防御建议<\/h3>

及时更新依赖库版本<\/li>
配置Java安全策略<\/li>
对反序列化操作进行严格校验<\/li>
<\/ul>
本教学文档涵盖了Java反序列化漏洞在Java 17环境下的各种利用技术和绕过方案，重点分析了模块化系统的应对策略和新型攻击链的发掘方法。<\/p>

Java 反序列化漏洞利用与绕过技术专题解析<\/h1>

1. 反序列化链挖掘分析<\/h2>

1.2 漏洞分析<\/h3> 环境中存在getConnection<\/code>方法，但其URL从配置文件读取，无法直接利用JDBC反序列化漏洞。环境中存在ojdbc依赖，提供了Oracle JDBC反序列化攻击面。<\/p>

1.4 攻击限制与绕过<\/h3> OracleCachedRowSet.getConnectionInternal<\/code>中存在validateJNDIName<\/code>检测，必须使用RMI方式进行攻击。<\/p>

2. Java 17模块化问题处理<\/h2>

2.2 IDEA配置参数<\/h3>

2.3 模块化相关参数详解<\/h3>

3. JNDI注入攻击技术<\/h2>

3.2 组合攻击方案<\/h3> 使用batik低版本和tomcat-el组合进行攻击：<\/p>

4. 其他攻击向量<\/h2>

5. Jackson新时代利用链<\/h2>

5.1 简化方案<\/h3> 最新研究发现可直接使用Jackson链实现通杀，无需复杂绕过：<\/p> 参考文章：https:\/\/xz.aliyun.com\/news\/18701<\/p>

6. 实践注意事项<\/h2>

1.2 漏洞分析<\/h3>
环境中存在`getConnection<\/code>方法，但其URL从配置文件读取，无法直接利用JDBC反序列化漏洞。环境中存在ojdbc依赖，提供了Oracle JDBC反序列化攻击面。<\/p>`

1.4 攻击限制与绕过<\/h3>
`OracleCachedRowSet.getConnectionInternal<\/code>中存在validateJNDIName<\/code>检测，必须使用RMI方式进行攻击。<\/p>`

3.2 组合攻击方案<\/h3>
使用batik低版本和tomcat-el组合进行攻击：<\/p>

5.1 简化方案<\/h3>
最新研究发现可直接使用Jackson链实现通杀，无需复杂绕过：<\/p>
参考文章：https:\/\/xz.aliyun.com\/news\/18701<\/p>