Java反序列化漏洞基础教学文档<\/h2>

第一章：序列化与反序列化基础<\/h3>

1.1 核心概念<\/h4>

序列化<\/strong>：将内存中的Java对象转换为字节流的过程。这个过程可以将对象的状态（数据）保存到文件、数据库，或通过网络进行传输。<\/li>

反序列化<\/strong>：将字节流还原为内存中Java对象的过程。它是序列化的逆过程。<\/li> <\/ul>
1.2 技术存在的意义<\/h4>
序列化与反序列化主要用于数据传输和持久化，常见的应用场景包括：<\/p>

将对象状态保存到文件或数据库中。<\/li>
通过网络套接字传输对象。<\/li>
在RMI（远程方法调用）中传输对象。<\/li> <\/ul>
1.3 常见的序列化协议<\/h4>
除了Java原生的序列化机制，还存在其他协议：<\/p>

XML<\/strong><\/li>
SOAP<\/strong>：基于XML的结构化消息传递协议。<\/li>
JSON<\/strong><\/li>
Protobuf<\/strong>（Google Protocol Buffers）<\/li> <\/ul>
1.4 Java中的序列化实现<\/h4>

实现Serializable<\/code>接口<\/strong>：任何需要被序列化的类都必须实现java.io.Serializable<\/code>接口。这是一个标记接口，不包含任何方法。<\/p>
import<\/span> java.io.Serializable;<\/span> <\/span><\/span>public<\/span> class<\/span> Person<\/span> implements<\/span> Serializable {<\/span> <\/span><\/span> private<\/span> String name;<\/span> <\/span><\/span> private<\/span> int<\/span> age;<\/span> <\/span><\/span> \/\/ ... 构造方法、getter\/setter、toString ... <\/span><\/span><\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 序列化过程<\/strong>：使用ObjectOutputStream<\/code>将对象写入字节流。<\/p> \/\/ 写法一：传统IO <\/span><\/span><\/span><\/span>ObjectOutputStream oos =<\/span> new<\/span> ObjectOutputStream(<\/span>new<\/span> FileOutputStream(<\/span>"ser.bin"<\/span>));<\/span> <\/span><\/span>oos.<\/span>writeObject<\/span>(<\/span>person);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 写法二：NIO（现代推荐） <\/span><\/span><\/span><\/span>ObjectOutputStream oos =<\/span> new<\/span> ObjectOutputStream(<\/span>Files.<\/span>newOutputStream<\/span>(<\/span>Paths.<\/span>get<\/span>(<\/span>"ser.bin"<\/span>)));<\/span> <\/span><\/span>oos.<\/span>writeObject<\/span>(<\/span>person);<\/span> <\/span><\/span><\/code><\/pre><\/li> 反序列化过程<\/strong>：使用ObjectInputStream<\/code>从字节流中读取对象。<\/p> ObjectInputStream ois =<\/span> new<\/span> ObjectInputStream(<\/span>Files.<\/span>newInputStream<\/span>(<\/span>Paths.<\/span>get<\/span>(<\/span>"ser.bin"<\/span>)));<\/span> <\/span><\/span>Person person =<\/span> (<\/span>Person)<\/span> ois.<\/span>readObject<\/span>();<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 第二章：反序列化漏洞的根源<\/h3> 2.1 核心安全问题<\/h4> 根本原因<\/strong>： Java反序列化机制在还原对象时，会自动调用特定方法（如readObject<\/code>）。如果攻击者能够控制反序列化的数据源，并精心构造一个恶意的字节流，就可以诱使服务端在执行反序列化过程中执行任意代码。<\/p> 2.2 漏洞触发点（攻击面）<\/h4> 文章指出了四种典型的漏洞触发模式：<\/p> 入口类的readObject<\/code>方法直接调用危险方法<\/strong><\/p> 描述<\/strong>：如果自定义类重写了readObject<\/code>方法，并在其中直接调用了危险代码（如命令执行），那么反序列化该类的对象时就会触发漏洞。<\/li> 示例<\/strong>： public<\/span> class<\/span> Person<\/span> implements<\/span> Serializable {<\/span> <\/span><\/span> private<\/span> void<\/span> readObject<\/span>(<\/span>ObjectInputStream ois)<\/span> throws<\/span> IOException,<\/span> ClassNotFoundException {<\/span> <\/span><\/span> ois.<\/span>defaultReadObject<\/span>();<\/span> \/\/ 调用默认反序列化 <\/span><\/span><\/span><\/span> Runtime.<\/span>getRuntime<\/span>().<\/span>exec<\/span>(<\/span>"calc"<\/span>);<\/span> \/\/ 危险操作！ <\/span><\/span><\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 入口类参数中包含可控类，该类有危险方法，readObject<\/code>时调用<\/strong><\/p> 描述<\/strong>：入口类（如HashMap<\/code>）的readObject<\/code>方法在反序列化过程中，会对其中的键值对进行某些操作（如计算哈希值hashCode()<\/code>）。如果键是攻击者可控的类（如URL<\/code>），并且该类的hashCode<\/code>或equals<\/code>等方法存在危险行为，漏洞就会被触发。<\/li> 示例<\/strong>： URLDNS<\/code>链就是利用这一点。反序列化一个HashMap<URL, Integer><\/code>时，HashMap.readObject()<\/code>会调用URL.hashCode()<\/code>，而URL.hashCode()<\/code>会触发一次DNS查询，从而验证反序列化是否发生。<\/li> <\/ul> <\/li> 入口类参数中包含可控类，该类又调用其他有危险方法的类<\/strong><\/p> 描述<\/strong>：这是上一种情况的延伸，构成一条调用链（Gadget Chain）。入口类调用可控类A的方法，类A的方法又调用类B的危险方法。<\/li> <\/ul> <\/li> 构造函数\/静态代码块等类加载时隐式执行<\/strong><\/p> 描述<\/strong>：即使不直接调用readObject<\/code>，在类被加载时，其静态代码块或构造函数也会被执行。如果这些代码块中包含危险逻辑，同样可以构成攻击。<\/li> 示例<\/strong>：重写toString<\/code>方法，在其中执行命令，当反序列化后的对象被打印（隐式调用toString<\/code>）时触发。<\/li> <\/ul> <\/li> <\/ol> 2.3 挖掘漏洞的三个关键条件<\/h4> 要成功利用一个反序列化漏洞，需要同时满足三个条件：<\/p> 入口类（Source）<\/strong>：<\/p> 可序列化。<\/li> 重写了readObject<\/code>方法。<\/li> 该方法中调用了常见的函数（如put<\/code>, equals<\/code>, compare<\/code>等）。<\/li> 方法的参数类型宽泛（如Object<\/code>, Map<\/code>等），允许传入任意对象。<\/li> 最好是JDK自带的类<\/strong>，因为攻击载荷的通用性更强。<\/li> <\/ul> <\/li> 执行类（Sink）<\/strong>：<\/p> 一个可以执行危险操作的点，如： RCE<\/strong>： Runtime.exec()<\/code>, ProcessBuilder.start()<\/code><\/li> SSRF<\/strong>： URL.openConnection()<\/code><\/li> 文件写入<\/strong>： FileOutputStream.write()<\/code><\/li> <\/ul> <\/li> <\/ul> <\/li> 调用链（Gadget Chain）<\/strong>：<\/p> 一条从入口类<\/strong>的readObject<\/code>方法到执行类<\/strong>的危险方法的完整方法调用链。这条链由多个类的不同方法连接而成。<\/li> <\/ul> <\/li> <\/ol> 第三章：前置知识 - Java反射<\/h3> 3.1 反射的概念<\/h4> 反射机制允许程序在运行时（而非编译时）探查、获取并操作类（Class）、方法（Method）、字段（Field）等信息。它赋予了Java动态语言的能力。<\/p> 正射<\/strong>：在编译时就知道要操作的类和具体方法。 Student student =<\/span> new<\/span> Student();<\/span> \/\/ 编译时类型已知 <\/span><\/span><\/span><\/span>student.<\/span>sayHello<\/span>();<\/span> <\/span><\/span><\/code><\/pre><\/li> 反射<\/strong>：在运行时才动态地加载类、创建对象、调用方法。 Class clazz =<\/span> Class.<\/span>forName<\/span>(<\/span>"com.example.Student"<\/span>);<\/span> \/\/ 运行时根据字符串加载类 <\/span><\/span><\/span><\/span>Object instance =<\/span> clazz.<\/span>newInstance<\/span>();<\/span> <\/span><\/span>Method method =<\/span> clazz.<\/span>getMethod<\/span>(<\/span>"sayHello"<\/span>);<\/span> <\/span><\/span>method.<\/span>invoke<\/span>(<\/span>instance);<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> 3.2 反射的核心API<\/h4> 反射中几个极为重要的方法：<\/p> Class.forName(String className)<\/code>：根据类名获取该类的Class对象。<\/li> clazz.newInstance()<\/code>：通过Class对象创建类的实例（调用无参构造）。<\/li> clazz.getMethod(String name, Class... parameterTypes)<\/code>：获取方法对象。<\/li> method.invoke(Object obj, Object... args)<\/code>：调用指定对象的方法。<\/li> <\/ul> 第四章：经典漏洞链分析 - URLDNS<\/h3> 4.1 链分析<\/h4> URLDNS是ysoserial工具中的一个Gadget Chain，它不直接执行命令，而是用于检测<\/strong>目标是否存在反序列化漏洞，因为它会产生一个DNS请求，非常直观。<\/p> 调用链<\/strong>： HashMap.readObject()<\/code> -> HashMap.put()<\/code> -> HashMap.hash()<\/code> -> URL.hashCode()<\/code> -> URLStreamHandler.hashCode()<\/code> -> URLStreamHandler.getHostAddress()<\/code> -> InetAddress.getByName()<\/code> （触发DNS查询）<\/strong><\/p> 4.2 复现关键点<\/h4> 构造Payload<\/strong>：创建一个HashMap<\/code>，并放入一个URL<\/code>对象作为key。<\/li> 避免提前触发DNS<\/strong>：在放入HashMap<\/code>之前，需要利用反射将URL<\/code>对象的hashCode<\/code>字段设置为非-1<\/code>的初始值，以防止在put<\/code>操作时就触发DNS查询。真正的漏洞触发应在反序列化时的readObject<\/code>中。<\/li> 序列化与反序列化<\/strong>：将构造好的HashMap<\/code>序列化成字节流，然后让目标程序反序列化该流。<\/li> <\/ol> 4.3 学习意义<\/h4> URLDNS链是学习Java反序列化的最佳入门案例<\/strong>，因为它：<\/p> 只依赖JDK内置类，通用性极高。<\/li> 不涉及复杂的第三方库。<\/li> 清晰地展示了从readObject<\/code>到最终触发网络请求的完整链条。<\/li> 无害，仅用于探测。<\/li> <\/ul> 第五章：从探测到利用 - 命令执行（RCE）<\/h3> URLDNS链仅用于探测。要实现真正的命令执行（RCE），需要寻找更复杂的Gadget Chain，其最终会调用Runtime.exec()<\/code>或类似方法。<\/p> 核心思路<\/strong>：寻找一条从某个可序列化入口类（如AnnotationInvocationHandler<\/code>, BadAttributeValueExpException<\/code>等）的readObject<\/code>方法出发，最终能够动态调用到Runtime.getRuntime().exec("命令")<\/code>的调用链。这通常需要结合反射<\/strong>和动态代理<\/strong>等机制来绕过各种限制。<\/p> 由于这些链通常涉及多个第三方库（如Commons-Collections），构造起来比URLDNS复杂得多，但基本原理相通：控制反序列化数据，引导程序执行预设的恶意代码路径<\/strong>。<\/p> 总结<\/h3> 本教学文档系统性地梳理了Java反序列化漏洞的基础知识。理解这些概念是进一步学习复杂Gadget Chain（如CommonsCollections、Fastjson等）的基石。核心要点在于：反序列化本身不是漏洞，但将不可信的数据交给反序列化机制处理，且程序中存在一条从入口点到危险操作的完整调用链，就构成了严重的安全漏洞。<\/strong><\/p>