wgpsec/java-exploit-chain

Java 漏洞利用链组装

白盒利用链组装 = 在源码层面验证多漏洞串联的可行性。工作范围是: 从已发现的单点漏洞出发，分析它们之间的因果关系和数据流衔接，评估组合后的实际危害等级。构造远程 exploit、发送 payload、绕过 WAF 等运行时黑盒利用技术属于对应 exploit skill 范畴。

深入参考

• 利用链方法论 / 依赖审计表 / Gadget 分析 / 5 种典型链路详解 → references/chain-patterns.md

---

利用链组装原则

三阶段模型: 信息收集（INFO）→ 权限获取（AUTH）→ 代码执行（RCE）

每条利用链按三阶段拆解，每个阶段的输出必须满足下一阶段的前置条件。任何一个环节断裂则链路不成立。

评分规则: 链整体严重度 = 最终效果严重度 x 链路可行性系数（0.6-1.0）

• 全路径可行、无额外条件: 系数 1.0
• 需特定配置或低概率条件: 系数 0.8
• 强环境依赖（特定 JDK 版本、关闭 SecurityManager 等）: 系数 0.6

证据要求: 每个环节必须有 EVID 证据支撑（代码位置、配置项、数据流截断点），不可凭推测补全链路。

Maven/Gradle 依赖 CVE 审计

依赖清单提取:

• Maven: mvn dependency:tree -DoutputType=dot 生成完整依赖图
• Gradle: gradle dependencies --configuration runtimeClasspath 列出运行时依赖
• 自动化: OWASP Dependency-Check 插件集成到 CI，生成 HTML/JSON 报告

NVD/GitHub Advisory 交叉比对: 使用 NVD API 或 GitHub Advisory Database 查询依赖的 CPE 匹配 CVE。

关键判断 — 有 CVE 不等于可利用:

1. 版本匹配: 确认项目使用的版本确实在受影响范围内（注意传递依赖可能引入不同版本）
2. 代码路径可达: 漏洞触发代码是否在项目的实际调用链中（依赖了库但未使用漏洞函数则不可利用）
3. 攻击面暴露: 漏洞入口是否对外可达（内部工具类 vs 面向用户的 API）

高频危险依赖: commons-collections 3.x、fastjson <1.2.83、log4j-core 2.0-2.17.0、shiro <1.2.5、struts2 2.0-2.5.30、spring-cloud-gateway <3.1.1、jackson-databind <2.13.4

Gadget Chain 分析方法

• classpath 扫描: 从 pom.xml/build.gradle 及 WEB-INF/lib 确认目标环境中存在哪些可用 Gadget 库及版本
• ysoserial payload 选择: 根据 classpath 依赖匹配可用链（CommonsCollections1-7、BeanShell、Groovy、Spring、Hibernate 等），选择触发效果（命令执行 / JNDI lookup / 文件写入）
• marshalsec 用于 JNDI 利用: 搭建恶意 LDAP/RMI 服务 → 目标 JNDI lookup 触发远程类加载 → RCE；注意 JDK 版本限制
• 自定义 Gadget 发掘: 当标准链不可用时，在项目代码中搜索 readObject/readResolve/readExternal 重写，追踪其中的危险操作（反射调用、文件 I/O、Runtime.exec、JNDI lookup），尝试构造项目特有的 Gadget Chain

典型利用链模式（5 种）

| 编号 | 链路 | 最终效果 | 典型系数 | |------|------|----------|----------| | 1 | Actuator 信息泄露 → 密钥提取 → 伪造 JWT → 管理员越权 → RCE | Critical | 0.8 | | 2 | Shiro RememberMe 默认密钥 → 反序列化 → RCE | Critical | 1.0 | | 3 | 文件读取(路径穿越) → 配置泄露(DB 凭据) → SQL 注入写文件 → WebShell | Critical | 0.8 | | 4 | SSRF → 内网服务探测 → 未授权 Redis → 写 crontab → 反弹 Shell | High | 0.6 | | 5 | SpEL 注入 → RCE（单点链路，条件苛刻需验证 EvaluationContext 类型） | Critical | 0.8 |

每条链的前置条件、完整步骤、证据要求和降级方案详见 chain-patterns.md。

链路可行性验证清单

• [ ] 每一步的前置条件已由上一步的输出满足（数据流可衔接）
• [ ] 网络可达性已确认（防火墙/ACL/安全组不阻断链路中的网络请求）
• [ ] 运行时环境约束已评估（JDK 版本、SecurityManager 是否启用、容器沙箱限制）
• [ ] JDK 版本对 JNDI 远程类加载的限制已考虑（8u121+ RMI / 8u191+ LDAP）
• [ ] 链路中使用的 Gadget Chain 在目标 classpath 中确实存在且版本匹配
• [ ] 降级方案已标注: 某环节不可行时是否存在替代路径（如 RMI 不可用时切换 LDAP/本地 Gadget）
• [ ] 链整体评分已使用 最终效果严重度 x 可行性系数 公式计算
• [ ] 所有环节的 EVID 证据已收集完整，无推测性补全
• [ ] 依赖 CVE 审计已完成三步验证（版本匹配 → 代码路径可达 → 攻击面暴露）

检测清单

• [ ] P4 阶段发现的所有漏洞已按攻击阶段（INFO/AUTH/EXEC）分类
• [ ] 漏洞间的因果关系和数据流衔接已分析
• [ ] Maven/Gradle 依赖树已提取并与 NVD/GitHub Advisory 交叉比对
• [ ] 高频危险依赖的版本范围已逐一核查
• [ ] classpath 中可用 Gadget Chain 已扫描确认
• [ ] 所有可行利用链已按模板记录（前置条件 / 步骤 / EVID / 评分）
• [ ] 每条链的可行性系数已根据环境约束合理赋值
• [ ] 不可行链路已标注原因和降级方案
• [ ] 严重度评分与 pipeline 一致