某友NCCloud黑名单绕过分析技术文档<\/h1>

1. 漏洞背景<\/h2>
某友NCCloud是一款广泛使用的企业级软件，其反序列化漏洞在安全研究中备受关注。在NC6.5版本中，常见的利用链是通过Commons Collections(CC)链实现任意方法调用。然而，新补丁中添加了CC黑名单，导致传统利用链失效。<\/p>

2. 补丁分析<\/h2>

2.1 黑名单机制<\/h3>

新补丁中引入了反序列化黑名单，部分被拦截的类包括：<\/p>

传统CC链中的关键类<\/li>

其他已知的恶意反序列化类<\/li> <\/ul>

2.2 安全限制增强<\/h3>

补丁还实施了以下安全措施：<\/p>

默认禁用jdk.xml.enableTemplatesImplDeserialization<\/code>系统属性<\/li>

抛出明确异常阻止TemplatesImpl反序列化：
java.lang.UnsupportedOperationException: 启用了 Java 安全时, 将禁用对反序列化 TemplatesImpl 的支持。可以通过将 jdk.xml.enableTemplatesImplDeserialization 系统属性设置为"真"来覆盖此设置。
<\/code><\/pre>
<\/li>
<\/ol>
3. 绕过技术分析<\/h2>
3.1 TemplatesImpl限制的根源<\/h3>

Apache官方在2015年声明中指出了com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl<\/code>被滥用的问题<\/li>
解决方案是通过jdk.xml.enableTemplatesImplDeserialization<\/code>系统属性控制反序列化行为<\/li>
该属性默认禁用，且NCCloud强制保持禁用状态<\/li>
<\/ul>
3.2 替代利用链构建<\/h3>
3.2.1 JNDI注入替代方案<\/h4>
由于TemplatesImpl被限制，转向JNDI注入实现RCE：<\/p>

适用环境：JDK高版本下需结合本地Factory类<\/li>
优势：不受enableTemplatesImplDeserialization<\/code>限制<\/li>
<\/ul>
3.2.2 利用BeanShell(bsh)<\/h4>
在NC环境中常见的可利用组件：<\/p>

满足条件：

具有无参构造方法<\/li>
包含eval(String)<\/code>方法可执行bsh脚本<\/li>
<\/ul>
<\/li>
可加载恶意字节码实现代码执行<\/li>
<\/ul>
3.2.3 JdbcRowSetImpl利用<\/h4>
构造恶意JdbcRowSetImpl对象：<\/p>

触发JNDI注入<\/li>
结合前半段反序列化链完成攻击<\/li>
<\/ul>
3.3 完整利用链构建<\/h3>


前半段：使用黑名单外的反序列化链<\/p>

避开补丁中的恶意类名检测<\/li>
实现任意getter方法调用<\/li>
<\/ul>
<\/li>

后半段：JNDI注入<\/p>

通过JdbcRowSetImpl触发<\/li>
或通过BeanShell执行恶意代码<\/li>
<\/ul>
<\/li>
<\/ol>
4. 环境适配考量<\/h2>


Tomcat版本适配：<\/p>

低于8的版本缺少javax.el.ELProcessor<\/code><\/li>
需选择更通用的利用方式<\/li>
<\/ul>
<\/li>

依赖组件分析：<\/p>

确认bsh等组件的存在<\/li>
根据实际环境调整利用链<\/li>
<\/ul>
<\/li>
<\/ol>
5. 防御建议<\/h2>


对于NCCloud用户：<\/p>

及时更新至最新补丁版本<\/li>
监控反序列化操作日志<\/li>
<\/ul>
<\/li>

通用防御措施：<\/p>

限制不必要的反序列化操作<\/li>
实施严格的输入验证<\/li>
使用安全管理器限制敏感操作<\/li>
<\/ul>
<\/li>

针对JNDI攻击：<\/p>

升级JDK至最新版本<\/li>
配置com.sun.jndi.object.trustURLCodebase<\/code>为false<\/li>
<\/ul>
<\/li>
<\/ol>
6. 技术验证<\/h2>
测试效果验证：<\/p>

成功绕过黑名单限制<\/li>
实现RCE效果<\/li>
在多种NCCloud环境中验证可用性<\/li>
<\/ul>
7. 总结<\/h2>
本文详细分析了某友NCCloud反序列化黑名单的绕过技术，重点包括：<\/p>

传统TemplatesImpl利用链被阻断的机制<\/li>
通过JNDI注入和BeanShell的替代方案<\/li>
完整利用链的构建方法<\/li>
不同环境下的适配策略<\/li>
<\/ol>
该研究揭示了即使实施了严格的黑名单机制，通过组合利用不同技术点仍可能实现漏洞利用，强调了纵深防御的重要性。<\/p>