• Java反序列化漏洞学习


    序列化是Java提供的一种对象持久化保存的技术。常规对象在程序结束后会被回收,如果想把对象持久保存方便下次使用,需要序列化和反序列化。

    序列化有两个前提:

    • 类必须实现java.io.serializable接口
    • 类所有字段都必须是可序列化的

    反序列化漏洞利用原理

    1. 利用重写ObjectInputStream的readObject

    重写ObjectInputStream的readObject方法时,可执行恶意代码。定义一个类,并实现serializable接口:

    public class User implements Serializable {
    
        public String name;
        public int age;
        public String  getUserInfo(){
            return "user name: "+this.name +" age: "+this.age;
        }
    }
    View Code

    对这个类进行序列化和反序列化(将序列化对象保存在user.txt中):

    public class SerializeDemo {
    
        public static void main(String[] args) throws IOException, ClassNotFoundException {
    
            User user = new User();
            user.name = "路人";
            user.age = 25;
    
            try {
    
                FileOutputStream fileOut = new FileOutputStream("user.txt");
                ObjectOutputStream out = new ObjectOutputStream(fileOut);
                out.writeObject(user);
    
                out.close();
                fileOut.close();
                System.out.println("Serialized done");
    
            } catch (IOException e) {
                e.printStackTrace();
            }
    
    
            User user_out = null;
    
            FileInputStream fileInput = new FileInputStream("user.txt");
            ObjectInputStream in = new ObjectInputStream(fileInput);
            user_out = (User) in.readObject();
    
    
            in.close();
            fileInput.close();
            System.out.println(user_out.getUserInfo());
        }
    }
    View Code

    执行结果:

    user类重写readObject方法,并将恶意代码写在重写方法中:

        private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
            in.defaultReadObject();
            Runtime.getRuntime().exec("touch hello.txt");
        }
    View Code

    执行序列化和反序列化之后,恶意代码执行成功:

    2. 利用反射

    反射可以越过静态检查和类型约束,在运行期间访问和修改对象的属性和状态。通过反射机制执行恶意代码。InvokerTransformer可以通过调用Java的反射机制来调用任意函数

    public class ReflectDemo {
    
        public static void main(String[] args) {
    
            InvokerTransformer it = new InvokerTransformer(
                    "exec",
                    new Class[]{String.class},
                    new Object[]{"open /Applications/Calculator.app/"});
            it.transform(java.lang.Runtime.getRuntime());
    
        }
    }
    View Code

    恶意代码执行成功:

    但是在实际应用中,我们是不能直接把恶意代码写在对方的readObject中,或者把Runtime直接从外部传进去的,所以需要构造反射链payload来实现反序列化漏洞的利用。具体利用方式参考这篇文章:http://www.mi1k7ea.com/2019/02/06/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/

    此外,还有一个叫做ysoserial的开源工具,集合了各种java反序列化payload,下载地址:https://github.com/angelwhu/ysoserial 

    上一篇的漏洞利用库jmet-0.1.0-all.jar就是使用ysoserial生成的Payload。

    关于java反序列化漏洞,咱目前只能理解到这个地步了(java水平有限 ..>_<..)。

  • 相关阅读:
    Google Code 项目代码托管网站上 Git 版本控制系统使用简明教程
    C/C++预定义宏
    使用 Raspberry Pi 远程桌面
    Vim 中将 tab 自动转换成空格
    DR模式搭建LVS负载均衡
    NAT模式LVS搭建负载均衡集群
    php扩展memached安装
    raw_input与input的区别
    keepalived+lvs搭建高可用负载均衡集群
    使用keepalived搭建nginx高可用
  • 原文地址:https://www.cnblogs.com/sallyzhang/p/12295800.html
Copyright © 2020-2023  润新知