基于Hessian2反序列化挖掘Spring原生利用链-先知社区

0x00 准备

利用链所需依赖：

版本：

Hessian最新版本4.0.66，目前通杀

Spring-context < 6.0.0 可以直接利用，更高版本需要其他的绕过手法

jdk限制不严格，利用一些绕过方法就可以突破

0x01 寻找过程

漏洞点

漏洞点在SimpleJndiBeanFactory类的getBean(String name)方法。

getBean方法接受两个参数，参数name设置为恶意的JNDI服务端地址。该方法默认情况下会调用到同类的lookup方法，lookup方法会触发JNDI请求。

我使用集成工具Java Chains 起了一个JNDI服务端（Java Chains相当好用，功能全面而便捷），JNDI服务端收到请求并发送恶意payload：

这证明了漏洞点确实可行，但是SimpleJndiBeanFactory类没有实现Serializable接口，这意味着很难打Java原生反序列化。

当时的我并没有往这方面尝试，而是突发奇想，Hessian2反序列化不需要关注该接口，说不定可以打它。

接下来就是向上寻找调用getBean方法的类。

寻找调用

我找到TargetBeanObjectFactory类的getObject()方法，该方法可以调用SimpleJndiBeanFactory的getBean方法。

该方法会用到成员beanFactory和targetBeanName，前者设置为SimpleJndiBeanFactory，后者是JNDI服务端地址：

因为该类是一个private内部类，所以我选择通过ObjectFactoryCreatingFactoryBean类的

createInstance()方法构造该类，同时把两个成员也赋值了：

●

argetBeanName是JNDI服务端的地址

●

beanFactory是恶意构造的SimpleJndiBeanFactory实例。

如下图，我们可以获得一个恶意的TargetBeanObjectFactory类：

现在我们得到了TargetBeanObjectFactory类，但是距离得到一条真正的gadget还遥遥无期，此时我看到了一个实现了InvocationHandler接口的类，才窥见了突破口。

突破点

突破点就是ObjectFactoryDelegatingInvocationHandler类。为什么我会认为这是突破点呢？因为该类实现了InvocationHandler接口，所以该类可以被封装到动态代理类，动态代理类如果触发了自身的任意方法，都会走到InvocationHandler的invoke方法。

invoke方法如下，其满足特定条件会触发ObjectFactory接口的getObject()方法，成员objectFactory就是上文的TargetBeanObjectFactory类。