Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。
Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。
使用marshalsec项目工具(https://github.com/mbechler/marshalsec)可生成利用payload,包括SpringCompAdv,Resin, ROME, XBean
下面使用Resin payload复现Hessian反序列化RCE漏洞
一、搭建测试环境
测试环境使用最新jar包
将HessianTest.war放到tomcat/webapp/目录下并启动tomcat