Spring Web 5.2.23.RELEASE 反序列化漏洞(CVE-2016-1000027)分析与修复指南<\/h1>

1. 漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2016-1000027
影响组件<\/strong>: Spring Framework中的spring-web模块
影响版本<\/strong>: Spring Framework < 6.0版本
漏洞类型<\/strong>: 反序列化漏洞
危害等级<\/strong>: 高危（可导致远程代码执行）
披露时间<\/strong>: 2016年<\/p>

2. 漏洞背景<\/h2>
Spring Framework是美国威睿(Vmware)公司的一套开源的Java、JavaEE应用程序框架。该框架可帮助开发人员构建高质量的应用。<\/p>
3. 技术背景<\/h2>
3.1 Spring HTTP Invoker<\/h3>
Spring HTTP Invoker是一种基于HTTP协议提供RPC(远程过程调用)的机制，它使用Java的对象序列化机制实现穿透防火墙或多系统之间的通信。<\/p>
关键特点：<\/p>

基于HTTP协议传输<\/li>
使用Java原生序列化机制<\/li>
主要用于系统间通信<\/li> <\/ul>
4. 漏洞成因<\/h2>
4.1 漏洞位置<\/h3>
漏洞存在于以下两个类中：<\/p>

HttpInvokerServiceExporter<\/code><\/li>
RemoteInvocationSerializingExporter<\/code><\/li> <\/ol> 4.2 漏洞原因<\/h3> 在受影响版本中，上述类在处理序列化数据时未进行安全检测，当传输恶意序列化数据时，在反序列化过程中会执行恶意代码。<\/p> 4.3 漏洞调用链<\/h3> 完整的漏洞调用链如下：<\/p> httpinvoker.HttpInvokerServiceExporter.handleRequest httpinvoker.HttpInvokerServiceExporter.readRemoteInvocation RemoteInvocationSerializingExporter.createObjectInputStream RemoteInvocationSerializingExporter.doReadRemoteInvocation RemoteInvocationSerializingExporter.readObject <\/code><\/pre> 5. 漏洞分析<\/h2> 5.1 关键代码分析<\/h3> handleRequest方法<\/strong>:<\/p> 接收客户端发送的请求数据<\/li> 将response数据传输给readRemoteInvocation方法<\/li> <\/ul> <\/li> readRemoteInvocation方法<\/strong>:<\/p> 将POST数据分别传输给createObjectInputStream和doReadRemoteInvocation<\/li> 创建对象输入流和执行远程调用<\/li> <\/ul> <\/li> doReadRemoteInvocation方法<\/strong>:<\/p> 直接执行readObject进行反序列化操作<\/li> 无任何安全检测或限制<\/li> <\/ul> <\/li> <\/ol> 5.2 漏洞利用条件<\/h3> 系统使用了受影响版本的Spring Web模块<\/li> HttpInvoker接口暴露在外部网络中<\/li> 攻击者能够构造并发送恶意序列化数据<\/li> <\/ol> 6. 漏洞复现<\/h2> 6.1 环境搭建<\/h3> 使用测试项目: artem-smotrakov\/cve-2016-1000027-poc<\/a><\/li> 启动服务器端应用<\/li> <\/ol> 6.2 生成Payload<\/h3> 使用ysoserial工具生成恶意序列化数据:<\/p> java -jar ysoserial-all.jar CommonsCollections6 "calc"<\/span> > CommonsCollections6.bin <\/span><\/span><\/code><\/pre>注意<\/strong>: 根据实际情况可能需要尝试不同的Gadget链(如CommonsCollections3\/6等)<\/p> 6.3 发送恶意请求<\/h3> 构造HTTP请求:<\/p> 方法: POST<\/li> Content-Type: application\/x-java-serialized-object<\/li> 请求体: 上述生成的恶意序列化数据<\/li> <\/ul> 成功利用后将执行系统命令(如弹出计算器)<\/p> 7. 修复方案<\/h2> 7.1 官方修复方案<\/h3> 推荐方案<\/strong>: 升级到Spring Framework 6.0或更高版本<\/p> 在6.0版本中:<\/p> 完全废除了HttpInvokerServiceExporter类<\/li> 从根本上解决了此安全问题<\/li> <\/ul> 7.2 兼容性考虑<\/h3> 升级障碍<\/strong>:<\/p> Spring Framework 6需要JPA 2.2或更高版本<\/li> 旧组件如jBPM 6.2.0和Hibernate 4.2不兼容Spring 6<\/li> Hibernate 4.2基于JPA 2.0，与Spring 6不兼容<\/li> <\/ol> 7.3 手动修复方案<\/h3> 当无法升级时，可采用以下手动修复方式:<\/p> 方案一: 添加执行限制<\/h4> 对序列化数据进行检测和限制<\/li> 禁止已知恶意反序列化链<\/li> 缺点<\/strong>: 可能存在绕过风险<\/li> <\/ul> 方案二: 关闭HttpInvokerServiceExporter功能<\/h4> 如果业务未使用该功能，可直接关闭<\/li> 修改handleRequest方法为空实现<\/li> <\/ul> 具体步骤<\/strong>:<\/p> 解压spring-web jar包:<\/p> jar -xf spring-web-5.3.22.jar <\/span><\/span><\/code><\/pre><\/li> 修改HttpInvokerServiceExporter.java源码<\/p> <\/li> 重新编译:<\/p> javac -cp jar\/* HttpInvokerServiceExporter.java <\/span><\/span><\/code><\/pre><\/li> 替换原class文件并重新打包:<\/p> jar -cvfm0 spring-web-5.3.22_modified.jar META-INF\/MANIFEST.MF .\/ <\/span><\/span><\/code><\/pre><\/li> <\/ol> 7.4 修复验证<\/h3> 加载修改后的jar包<\/li> 确认HttpInvokerServiceExporter已被修改<\/li> 尝试漏洞利用，确认无法触发<\/li> <\/ol> 8. 总结与建议<\/h2> 漏洞本质<\/strong>: Spring为了方便跨系统调用使用了不安全的序列化机制<\/li> 利用方式<\/strong>: 通过构造恶意反序列化数据实现RCE<\/li> 修复优先级<\/strong>: 应尽快修复，特别是暴露在互联网的系统<\/li> 长期建议<\/strong>: 评估升级到Spring 6的可能性<\/li> 如无法升级，实施手动修复<\/li> 限制不必要的外部接口暴露<\/li> <\/ul> <\/li> <\/ol> 9. 参考资源<\/h2> 官方Commit: 76964e1<\/a><\/li> Pivotal官网: https:\/\/pivotal.io\/<\/a><\/li> 组件例外修复分析: CSDN文章<\/a><\/li> 漏洞PoC: GitHub仓库<\/a><\/li> <\/ol>