JDK 17 + SpringBoot 原生反序列化链分析教学文档<\/h1>

1. JPMS（Java 平台模块系统）概述<\/h2>

1.1 基本概念<\/h3>

JPMS<\/strong>（Java Platform Module System，又称 Jigsaw）是 Java 9 引入的模块系统<\/li>
核心目标<\/strong>：为 Java 平台提供真正的运行时模块化能力<\/li>

主要功能<\/strong>：

将 JDK 和应用程序按模块（module）进行划分<\/li>
明确模块间的依赖关系与可见性<\/li>
减少类冲突问题<\/li>
提升代码封装性<\/li>
支持通过 jlink 工具创建小型化镜像<\/li> <\/ul> <\/li> <\/ul>
1.2 模块声明<\/h3>
模块通过 module-info.java<\/code> 文件进行声明，例如：<\/p>
module com.<\/span>example<\/span>.<\/span>myapp<\/span> {<\/span> <\/span><\/span> requires java.<\/span>base<\/span>;<\/span> <\/span><\/span> exports com.<\/span>example<\/span>.<\/span>package<\/span>;<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>1.3 访问限制实例<\/h3> 在 JDK 17 中，直接导入 com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl<\/code> 会报错，原因是该包没有在 java.xml<\/code> 模块中导出。即使使用 setAccessible(true)<\/code> 也会失败，需要通过 --add-opens<\/code> 参数显式开放访问权限。<\/p> 2. 模块边界绕过技术<\/h2> 2.1 核心思路<\/h3> 通过反射获取 sun.misc.Unsafe<\/code> 实例，利用 Unsafe 直接修改 java.lang.Class<\/code> 的私有 module<\/code> 字段，将当前类所属的 Module 替换为其他类的 Module。<\/p> 2.2 技术实现<\/h3> \/\/ 示例代码框架 <\/span><\/span><\/span><\/span>Field unsafeField =<\/span> Unsafe.<\/span>class<\/span>.<\/span>getDeclaredField<\/span>(<\/span>"theUnsafe"<\/span>);<\/span> <\/span><\/span>unsafeField.<\/span>setAccessible<\/span>(<\/span>true<\/span>);<\/span> <\/span><\/span>Unsafe unsafe =<\/span> (<\/span>Unsafe)<\/span> unsafeField.<\/span>get<\/span>(<\/span>null<\/span>);<\/span> <\/span><\/span> <\/span><\/span>\/\/ 获取目标类的 module 字段并修改 <\/span><\/span><\/span><\/span>Class<?><\/span> targetClass =<\/span> ...;<\/span> <\/span><\/span>Object newModule =<\/span> ...;<\/span> <\/span><\/span>unsafe.<\/span>putObject<\/span>(<\/span>targetClass,<\/span> moduleFieldOffset,<\/span> newModule);<\/span> <\/span><\/span><\/code><\/pre>3. JDK 17 反序列化链分析<\/h2> 3.1 限制与突破<\/h3> 限制<\/strong>：在 JDK 17 中，BadAttributeValueExpException<\/code> 无法直接调用任意类的 toString()<\/code> 方法<\/li> 替代方案<\/strong>：使用 EventListenerList<\/code> 触发任意类的 toString()<\/code> 方法调用<\/li> <\/ul> 3.2 完整调用链<\/h3> EventListenerList#readObject → add方法（类名拼接） → UndoManager的父类CompoundEdit的toString方法 → Vector的toString方法 → append方法 → valueOf方法 → 调用任意类的toString方法 <\/code><\/pre> 4. Jackson 反序列化利用<\/h2> 4.1 POJONode 利用<\/h3> new<\/span> POJONode(<\/span>恶意类<\/span>)<\/span> \/\/ 通过反射修改 _value 字段为恶意类 <\/span><\/span><\/span><\/code><\/pre>4.2 Jackson 序列化流程<\/h3> EventListenerList调用POJONode的toString方法 → 超类BaseJsonNode的toString → InternalNodeMapper#nodeToString → ObjectWriter#writeValueAsString → ObjectWriter#_writeValueAndClose → ObjectWriter#_serialize → DefaultSerializerProvider#serializeValue → DefaultSerializerProvider#_serialize → SerializableSerializer#serialize → InternalNodeMapper#serialize → InternalNodeMapper#serializeNonRecursive → POJONode#serialize → SerializerProvider#defaultSerializeValue → BeanSerializer#serialize → BeanSerializerBase#serializeFields <\/code><\/pre> 4.3 Jackson 不稳定性问题<\/h3> 根本原因<\/strong>：Jackson 在触发 getter 方法时，使用 getDeclaredMethods()<\/code> 获取所有方法<\/li> 问题<\/strong>：根据 Java 官方文档，getDeclaredMethods()<\/code> 返回的方法顺序是不确定的<\/li> 后果<\/strong>：如果获取到非预期的 getter 方法，会导致序列化过程报错退出<\/li> <\/ul> 5. JdkDynamicAopProxy 的关键作用<\/h2> 5.1 保证 getter 顺序稳定性<\/h3> 通过使用 JdkDynamicAopProxy<\/code> 创建代理类，可以确保 Jackson 只能获取到 TemplatesImpl<\/code> 的 getOutputProperties<\/code> 方法，避免因方法顺序不确定导致的失败。<\/p> 5.2 模块访问权限解决<\/h3> 问题<\/strong>：直接传入 TemplatesImpl<\/code> 对象会因模块访问限制而失败<\/li> 原因<\/strong>：com.sun.org.apache.xalan.internal.xsltc.trax<\/code> 包没有导出给外部模块<\/li> 解决方案<\/strong>：通过 AOP 代理后，对外暴露的接口变为 javax.xml.transform.Templates<\/code><\/li> 优势<\/strong>：javax.xml.transform.Templates<\/code> 在 java.xml<\/code> 模块中是公开导出的，可以正常反序列化<\/li> <\/ul> 6. 最终触发点<\/h2> 6.1 序列化字段处理<\/h3> 在 BeanPropertyWriter#serializeAsField<\/code> 方法中：<\/p> _accessorMethod<\/code> 对应属性中的 getOutputProperties<\/code> 方法<\/li> bean<\/code> 参数对应 POJONode<\/code> 的 _value<\/code> 属性（即通过反射修改的恶意类）<\/li> <\/ul> 6.2 最终执行<\/h3> 通过上述调用链，最终进入 TemplatesImpl<\/code> 的 getOutputProperties<\/code> 方法，实现代码执行。<\/p> 7. 序列化处理注意事项<\/h2> 7.1 writeReplace 方法问题<\/h3> 问题<\/strong>：在 writeObject0<\/code> 序列化过程中会检查 writeReplace<\/code> 方法<\/li> 解决方案<\/strong>：需要删除或绕过 writeReplace<\/code> 方法<\/li> <\/ul> 7.2 处理建议<\/h3> 通过反射修改或删除相关方法，确保序列化流程能够正常执行到恶意代码触发点。<\/p> 8. 总结<\/h2> 本教学文档详细分析了在 JDK 17 + SpringBoot 环境下的原生反序列化利用链，重点涵盖了：<\/p> JPMS 模块系统的限制与绕过技术<\/li> 基于 EventListenerList 的 toString 触发链<\/li> Jackson 反序列化的不稳定因素及稳定化方案<\/li> JdkDynamicAopProxy 在模块访问和方法排序中的关键作用<\/li> 完整的利用链构建和注意事项<\/li> <\/ol> 该技术链结合了模块系统特性、反射技术和序列化机制，是在高版本 JDK 环境下实现反序列化利用的重要研究案例。<\/p>

JDK 17 + SpringBoot 原生反序列化链分析教学文档<\/h1>

1. JPMS（Java 平台模块系统）概述<\/h2>

2.1 核心思路<\/h3>
通过反射获取 `sun.misc.Unsafe<\/code> 实例，利用 Unsafe 直接修改 java.lang.Class<\/code> 的私有 module<\/code> 字段，将当前类所属的 Module 替换为其他类的 Module。<\/p>`

3. JDK 17 反序列化链分析<\/h2>

4. Jackson 反序列化利用<\/h2>

5. JdkDynamicAopProxy 的关键作用<\/h2>

5.1 保证 getter 顺序稳定性<\/h3>
通过使用 `JdkDynamicAopProxy<\/code> 创建代理类，可以确保 Jackson 只能获取到 TemplatesImpl<\/code> 的 getOutputProperties<\/code> 方法，避免因方法顺序不确定导致的失败。<\/p>`

6. 最终触发点<\/h2>

6.2 最终执行<\/h3>
通过上述调用链，最终进入 `TemplatesImpl<\/code> 的 getOutputProperties<\/code> 方法，实现代码执行。<\/p>`

7.2 处理建议<\/h3>
通过反射修改或删除相关方法，确保序列化流程能够正常执行到恶意代码触发点。<\/p>