常态期讨老口子2: 帆软反序列化分析

主要观点总结

分析FineBI软件中的反序列化漏洞，漏洞存在于/webroot/decision/remote/design/channel接口。

关键观点总结

关键观点1: 漏洞概述

漏洞存在于FineBI的特定接口，通过GZIPInputStream进行解压缩，然后使用CustomObjectInputStream进行反序列化。

关键观点2: 漏洞利用过程

攻击者需要构造序列化数据，通过gzip压缩后发送到漏洞接口。可以利用Hibernate链或Commons Collections（cb链）等技术进行构造。示例代码中提供了利用反射和字节码技术构造恶意的序列化数据的Java代码。

关键观点3: 反序列化绕过

官方修复漏洞的方式是增加反序列化黑名单，但jackson相关的类并未被禁止。攻击者可以利用jackson构造反序列化链。示例代码展示了利用BadAttributeValueExpException和TemplatesImpl等类的特性进行绕过的方式。

关键观点4: 其他绕过方法

由于黑名单中包含了一些类，文章提出了使用其他类如XString、HotSwappableTargetSource和SignedObject等进行绕过的方法。

关键观点5: 总结

文章详细分析了FineBI软件中的反序列化漏洞，并提供了利用该漏洞的示例代码。文章还探讨了如何绕过官方修复的方法和利用其他类进行攻击的方式。