Java Gadget链

最新推荐文章于 2025-12-08 00:32:30 发布
原创 最新推荐文章于 2025-12-08 00:32:30 发布 · 601 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #安全

一、Gadget链基础概念

1.1 什么是Gadget链?

Gadget链是由一系列看似无害的类和方法组成的调用链,当这些组件以特定方式组合时,可以被攻击者利用来执行恶意操作。在Java反序列化漏洞中,Gadget链通常指从readObject()方法开始,到危险方法(如Runtime.exec())结束的一系列方法调用。

Gadget链三要素

  1. 触发点(Source):反序列化入口(如ObjectInputStream.readObject()

  2. 传递链(Gadgets):中间方法调用

  3. 执行点(Sink):危险操作(如命令执行、文件操作)

1.2 基本概念

  1. Gadget(代码片段):指程序中已有的短小指令序列,通常以ret指令结尾

  2. Gadget链:将多个gadget按特定顺序组合,实现攻击者预期的复杂操作

1.3 技术原理

自动化挖掘技术通常包括以下步骤:

  1. Gadget发现:通过静态分析或动态分析识别程序中的所有可用gadget

  2. Gadget分类:根据功能(如内存读写、算术运算、控制流转移等)对gadget进行分类

  3. 约束求解:使用符号执行或约束求解器分析gadget间的数据流和控制流关系

  4. 链构建:自动组合gadget形成有效攻击链,满足特定攻击目标

1.4 主要方法

  1. 基于符号执行的方法:使用符号执行探索程序路径,识别有用的gadget组合

  2. 基于约束求解的方法:将gadget链构建问题转化为约束求解问题

  3. 启发式搜索方法:使用遗传算法等启发式方法搜索有效的gadget组合

  4. 机器学习方法:利用机器学习模型预测有效的gadget组合

1.5 应用场景

  • 面向返回编程(ROP)攻击

  • 面向跳转编程(JOP)攻击

  • 二进制漏洞利用自动化

  • 软件安全加固(通过识别潜在可利用的gadget)

1.6 代表性工具

  • ROPgadget

  • angrop(基于angr框架)

  • Q(基于二进制分析平台)

  • AUTOEXP(自动化漏洞利用生成工具)

这项技术显著提高了漏洞利用的自动化程度,同时也促使防御技术(如ASLR、CFG等)的发展。

1.7 典型Gadget链示例

以经典的Apache Commons Collections链为例:

// 恶意序列化数据利用链
ObjectInputStream.readObject()
  -> AnnotationInvocationHandler.readObject()
    -> Map(Proxy).entrySet()
      -> AnnotationInvocationHandler.invoke()
        -> LazyMap.get()
          -> ChainedTransformer.transform()
            -> InvokerTransformer.transform()
              -> Runtime.exec()

调用链分析

  1. 反序列化触发AnnotationInvocationHandler.readObject()

  2. 通过动态代理调用invoke方法

  3. LazyMap触发Transformer

  4. InvokerTransformer反射调用危险方法

二、Gadget链自动化挖掘技术

2.1 传统挖掘方法的局限性

传统Gadget链挖掘面临两大挑战:

  1. 静态路径爆炸:Java多态特性导致调用图过于庞大

  2. 对象约束复杂:有效Payload需要满足特定字段条件

2.2 现代挖掘技术突破

复旦大学提出的JDD框架通过创新方法解决了这些问题:

技术亮点

  1. 自底向上的链组合

    • 将完整链拆分为以动态调用为边界的片段

    • 组合片段形成完整利用链

  2. 注入对象约束求解

    // 约束示例:字段A必须非空且字段B为特定值
if (fieldA != null && "danger".equals(fieldB)) {
    executeMaliciousCode();
}

  3. 实验成果

    • 在Ysoserial基准上发现91条新链

    • 静态分析误报率降至0%

    • 检测到fastjson2等组件的新漏洞

三、常见Gadget链分析

3.1 JDK内置链

HashSet触发链

ObjectInputStream.readObject()
  -> HashSet.readObject()
    -> HashMap.put()
      -> TiedMapEntry.hashCode()
        -> LazyMap.get()
          -> ChainedTransformer.transform()

特点:利用JDK集合类的标准方法触发

3.2 第三方库链

Groovy链

ObjectInputStream.readObject()
  -> MethodClosure.readObject()
    -> doCall()
      -> Method.invoke()
        -> ProcessBuilder.start()

特点:利用Groovy的方法闭包特性

四、防御策略与实践

4.1 输入过滤

白名单验证示例

public class SafeObjectInputStream extends ObjectInputStream {
    private static final Set<String> ALLOWED_CLASSES = 
        Set.of("java.lang.String", "java.util.Date");
    
    @Override
    protected Class<?> resolveClass(ObjectStreamClass desc)
        throws IOException, ClassNotFoundException {
        if (!ALLOWED_CLASSES.contains(desc.getName())) {
            throw new InvalidClassException("Unauthorized class");
        }
        return super.resolveClass(desc);
    }
}

4.2 运行时防护

Java Agent检测

public class DangerousMethodAgent {
    public static void premain(String args, Instrumentation inst) {
        inst.addTransformer((loader, className, classBeingRedefined, 
            protectionDomain, classfileBuffer) -> {
            if (className.contains("InvokerTransformer")) {
                throw new SecurityException("Dangerous class detected");
            }
            return classfileBuffer;
        });
    }
}

weiteUP-ciscn_2019_c_1
weixin_52111404的博客
08-07 2114
平衡栈、执行system函数前栈空间应栈对齐;LibcSearcher安装使用和原理浅析
Jackson各个gadget的调用
公众号shadow sock7
03-30 1797
参考: http://www.lmxspace.com/2019/07/30/Jackson-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%B1%87%E6%80%BB/ https://www.mi1k7ea.com/2019/11/24/Jackson%E7%B3%BB%E5%88%97%E4%B8%83%E2%80%94%E2%80%94%E5%85%B6...
Java代码审计&Shiro反序列化&CB1&source入口&sink执行&gadget
qq_46081990的博客
01-22 2687
本文详细介绍了Shiro550 Commons BeanUtils反序列化利用,以代码审计的角度跟踪分析Commons BeanUtils的source、sink以及gadget,解释了该触发反序列化漏洞并最终造成RCE命令执行的根本原因是什么,并且在最后深入分析了Commons BeanUtilspayload的生成逻辑。
Java反序列化入门和内置序列化示例
weixin_42974824的博客
08-12 639
Java反序列化入门和内置序列化示例
Java反序列化(二)——URLDNS、CC1
Xzy03210321的博客
08-13 1809
MapEntry这一种类来说,当Map遍历Entry(一个键值对)时,其底层就会将Map封装进MapEntry中,所以只需要遍历TransformedMap的Entry,并在遍历的过程中调用setValue,就能进入TransformedMap.checkSetValue(Object)中。而在遍历时,利用的是第一个参数Map,所以需要put个键值对进去,这样在遍历是才会非空,进入循环的逻辑里。
Java反序列化漏洞的Gadget检测方案.pdf
04-21
文档支持目录章节跳转同时还支持阅读器左侧大纲显示和...作为一种广泛应用于企业级开发、移动应用、大数据等众多领域的编程语言Java 以其跨平台性、高性能和丰富的类库,为开发者提供了一个稳定而高效的开发环境。
java-chains 是 Vulhub 团队开发的一款专注于 Java 反序列化漏洞利用Gadget Chains) 的安全测试工具
rockmelodies的博客
07-20 1258
摘要: java-chains 是 Vulhub 团队开发Java 反序列化漏洞利用Gadget Chains)测试工具,支持自动化生成和验证 Payload,覆盖 Commons Collections、FastJSON 等常见漏洞。其核心功能包括动态生成序列化攻击数据、流量代理拦截及漏洞检测(通过 DNSLog/HTTP 回调)。工具适用于安全研究、渗透测试及漏洞修复验证,支持与 ysoserial、BurpSuite 联动。需 JDK 8 环境,通过 Maven 编译使用。防御建议包括升级依
面向Java反序列化漏洞调用搜索方法的研究.pdf
09-25
缺失对Java反射与动态代理分析”和“动静态混合分析低效”等问题,提出了一种结合静态污点分析与定向模糊测试的调用验证及搜索方法,并实现了自动化工具Gadget Searcher。该方法通过改进静态分析,增强对Java动态...
Java类查找工具_用于从大量jar包中快速定位特定class文件所在位置的实用程序_支持多类名批量查询和正则匹配过滤_自动化挖掘gadget时辅助审计测试_包含完整路径遍历_自.zip
07-20
Java类查找工具_用于从大量jar包中快速定位特定class文件所在位置的实用程序_支持多类名批量查询和正则匹配过滤_自动化挖掘gadget时辅助审计测试_包含完整路径遍历_自.zip
gadget inspector 挖掘利用
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
01-10 1977
gadgetinspector下载地址 1、https://github.com/JackOfMostTrades/gadgetinspector 2、https://github.com/threedr3am/gadgetinspector 进入目录gadgetinspector,然后安装: gradlew.bat shadowJar 如果下载太慢,可以设置代理,在目录gadgetinspector下,创建文件gradle.properties,里面内容如下,然后重新安装 systemProp.http
URLDNS反序列化
qq_56695124的博客
07-30 921
URLDNS外带反序列化
反序列化动态调试从0.5到1
weixin_42508548的博客
03-16 298
接上文前面如果有跟着做的人应该已经能够动态调试了吧,查看每一步数据有什么不同之处,在这里,我想先把上一步过程中的一些复杂的地方简单化,并且分开讲解其中的一些点。
第46天:Web开发-JavaEE应用&原生和FastJson反序列化&URLDNS&JDBC&Gadget手搓
wusaicyq的博客
02-23 1253
1、核心:java.util.HashMap实现了Serializable接口满足条件后,通过HashMap里面的hash到key.hashCode(),key的转变URL类,再到hashCode为-1触发URLStreamHandler.hashCode。例如将json转换成一个类。\":\"rmi://xx.xx.xx.xx/xxxx\", "《=》this.getDataSourceName()触发以下注入。\":\"rmi://xx.xx.xx.xx/xxxx\", " + //改动的成员变量。
使用动态代理,抽取Service公共代码
IF
04-12 1086
原业务层代码: AccountServiceImpl_OLD.java public class AccountServiceImpl_OLD implements AccountService { private AccountDao accountDao; private TransactionManager transactionManager; // 实现se...
通用gadget详解
weixin_44932880的博客
12-26 7715
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
搜索你的rop开源工具-ROPgadget
koozxcv的博客
04-07 6180
This tool lets you search your gadgets on your binaries to facilitate your ROP exploitation. ROPgadget supports ELF/PE/Mach-O format on x86, x64, ARM, ARM64, PowerPC, SPARC and MIPS architectures. S
小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少?
Summer's blog
05-13 3825
小楼昨夜又春风,你知ysoserial-Gadget-URLDNS多少? 你真的懂ysoserial其中的Gadget-URLDNS了吗?你确定吗?百分之百?不确定,还不来看看?
java反序列化漏洞的一些gadget
whatday的专栏
08-07 2458
目录 0x00 URLDNS 0x01 Commons Collections 0x02 RMI的codebase任意代码执行 0x03 JNDI 0x04 LDAP 0x05 JDK7u21 首先说一下学习gadget的感受 首先是要理解利用的这个库到底是做什么用的,有什么API,参数大概是怎么样的,有能力的看文档或者源码去研究,看网络文章辅助,除非文章确实写的好 然后看网络上文章的话有些不是很容易利用的利用的话虽然有很多文章分析,但是可能还是看不懂,以我的经验,主要原因是这条gadg
Java SE——12.异常(≠错误)《干货笔记》
最新发布
要努力去发光,而不是被照亮~
12-08 1188
Java SE——12.异常(≠错误)《干货笔记》
java CC 反序列化利用
03-11
针对`CommonsCollections`组件内的多个类可以构建出不同的gadget chain(工具),这些条通常涉及以下几种类: - **Transformers系列**:如 `ConstantTransformer`, `InvokerTransformer` 等用于定义特定行为...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值