使用自定义ClassLoader解决反序列化serialVesionUID不一致问题

爱德华·马奈-沙滩上（1873年夏）

 0x01 

背景

**serialVesionUid不一致导致反序列化失败也算是Java反序列化漏洞利用比较常见的问题了。**查了下资料，发现了各种各样的方法，但没有找到一种适合所有gadget的通用解决方案，为此我花了一些时间，算是找到了自己心中比较完美的解决方案：自定义ClassLoader。目前已经将其集成到ysoserial中，可完美解决各类gadget serialVesionUID不一致问题。

 0x02 

各方案的优劣

在解决这个问题之前，我尝试的很多方法，简单说下它们各自能解决的问题和存在的缺陷。

方案1:修改序列化byte数据

该方法可解决序列化最终数据的serialVesionUID不一致，但无法解决Object的serialVesionUID不一致

方案2:反射修改serialVesionUID

可以解决1的缺陷，但无法解决Gadget依赖的class没有serialVesionUID属性的情况，因为反射只能修改Object的属性，不能添加。

方案3:修改Class字节码，添加或修改serialVesionUID

能解决Gadget直接依赖Class的serialVesionUID不一致问题，可弥补方案2的缺陷。但不好解决Gadget间接依赖class存在serialVesionUID不一致的情况。

方案4:ObjectStreamClass.getSerialVesionUID()

该方法负责返回所有参与序列化Class的serialVesionUID，Hook它并修改返回值，可解决所有class的serialVesionUID不一致问题。但它无法解决Gadget依赖jar版本之间，class差异较大，属性类型不同的情况。serialVesionUID发生改变的本质是因为Class的属性和方法发生了改变，如果属性类型改变了，单单只修改serialVesionUID是不够的。

方案5:URLClassLoader

使用URLClassLoader动态引入依赖jar可以很好的解决以上方案的缺陷。只是用在该场景下有些费劲，原因有三：

• 第一，不方便隔离依赖。包含serialVesionUID不一致class的jar（这里简称不一致jar）是需要被隔离的,因为URLClassLoader是双亲委派模式，存在被父ClassLoader中的同名Class覆盖的风险。

• 第二，不方便共享依赖。Gadget依赖的部分jar可能不存在serialVesionUID不一致问题（这里简称可共用jar），我们需要共享。

• 第三，不方便添加Class到ClassLoader中，URLClassLoader只提供添加jar的方法。

 0x03 

自定义ClassLoader解决方案

在我看来比较完美的方案不仅要解决以上方案的缺陷，还要能防止各种未知的"副作用"。使用ClassLoader来解决的思路肯定是没错,但我们需要结合解决serialVesionUID不一致问题这个场景量身设计一个ClassLoader，核心有两点：

1. 改双亲委派为当前ClassLoader优先，方便隔离不一致jar共享可共用jar

2. 方便添加Class和Jar到ClassLoader中

那么自定义ClassLoader是如何解决serialVesionUID不一致问题的呢？

自定义ClassLoader可以很方便地切换不一致jar为漏洞环境的对应版本，生成的发序列化数据自然不会存在serialVesionUID不一致问题。

具体实现如下图，我们自定义ClassLoader包含了Gadget class和不一致jar。当Gadget class实例化生成序列化对象时，由于当前ClassLoader优先原则，存在不一致问题的class使用的是自定义ClassLoader加载的，实现隔离。而其他Class找不到，自然走双亲委派模式，去父ClassLoader中查找，实现共享。

下面我们分别来实现。

 0x04 

addClass && addJar

首先我们自定义的ClassLoader需要维护要一个装载Class的Map classByteMap,类名为键，类文件byte数据为值。方便后续添加和获取Class。

addClass方法，主要是为了方便我们我们把Gadget对应的class添加的自定义ClassLoader中。

addJar方法，主要是为了方便把gadget的不一致jar快速添加到ClassLoader中。具体来说就是读取不一致jar中所有class的class name和class byte，存储到classByteMap中。

 0x05 

改双亲委派为自定义ClassLoader优先

要想打破双亲委派，我们需要重新loadClass方法,修改加载逻辑为优先使用自定义ClassLoader加载。

findClass方法定义的是自定义ClassLoader查找Class的逻辑

 0x06 

编写版本兼容gadget

依然以ysoserial CommonsBeanutils1为例子。ysoserial中默认commons-beanutils是1.9.2版本，下面我们给它添加一个兼容1.8.3版本的CommonsBeanutils1_183。

通过对比1.9.2和1.8.3序列化数据，发现serialVesionUID不一致的只有org.apache.commons.beanutils.BeanComparator类，它在commons-beanutils-.jar中，剩余的commons-collections-3.1.jar和commons-logging-1.2.jar为可共用jar。

接着就可以编写代码，调用自定义ClassLoader SuidClassLoader来解决serialVesionUID不一致问题了。

Weblogic coherence.jar的gadget可如法炮制。近期忙完会将完整的代码上传到github项目

http://github.com/woodpecker-framework/ysoserial-woodpecker