声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

No.1

前言

Springboot是一个开源框架，其内嵌了一个web容器，当使用springboot开发一个web系统后，他可以打包成一个jar包，直接运行后开启一个web服务，配合nginx进行分布式集群，不用依赖外部给予的web中间件，就算系统中存在文件上传漏洞，他也没办法解析。

在一次项目中，遇到了一个springboot的反序列化漏洞，当时只能执行命令，目标不出网，文件基本没法上传，无奈这个点只能放弃，后续阅读文章时，发现可以用反序列化漏洞打入一个内存shell。

No.2

springboot 必要知识

了解Spring boot的内存shell，需要先了解启动过程中，spring boot是怎么确定url和Controller类的映射关系。

No.3

简单分析

spring boot启动过程中，在AbstractHandlerMethodMapping的initHandlerMethods方法中，获取全部的bean再遍历，遍历的目的是寻找Controller类，只要是注解有@RestController的bean都会进入最后的detectHandlerMethods方法

进入detectHandlerMethods方法，在这个方法里，首先会查找类中被路由注解修饰过的方法 ，之后获取注解和url的映射关系生成RequestMappingInfo对象，之后将bean，Method，RequestMappingInfo注册进MappingRegistry

在getMappingForMethod方法中，会解析Controller类的方法中的注解，从而生成一个与之对应的RequestMappingInfo对象，里面保存了访问Method的url条件

最后的registerHandlerMethod方法就是执行mappingRegistry.register方法，到这里，url与处理的类之间的映射关系被保存，当我们访问url时，springboot便知道由哪个类中的那个方法处理，如果我们能创建一个RequestMappingInfo，一个处理的类，将他们的映射关系保存进mappingRegistry，内存shell就能建立

在AbstractHandlerMethodMapping类中还有一个方法也会进入mappingRegistry.register，就是regusterMapping方法，这个方法就是动态添加Controller的接口，在程序过程中，只要调用这个接口，就能注册一个Controller类，从上面的分析过程可以知道，这个接口的使用条件是1，bean实例，2，处理请求的method，3、对应的RequestMappinginfo对象

No.4

实现过程

恶意class加载进JVM

BufferedReader r = new BufferedReader(new FileReader("shell.txt"));String code = r.readLine;byte d = new sun.misc.BASE64Decoder.decodeBuffer(code);java.lang.reflect.Method m = ClassLoader.class.getDeclaredMethod("defineClass