java代码审计之反序列化(代码执行)

最新推荐文章于 2024-06-01 11:55:53 发布
最新推荐文章于 2024-06-01 11:55:53 发布
阅读量538 收藏
点赞数
分类专栏: java代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candyys/article/details/105958960
版权
本文探讨了Java反序列化的过程及其安全风险,包括如何通过构造恶意输入执行任意代码。介绍了需要满足的序列化条件,并提供了一个漏洞示例,涉及可能被利用的第三方库如commons-collections和commons-fileupload。审计策略涵盖HTTP、RMI和JMX场景,建议通过查找readObject调用和网络抓包来识别反序列化输入点。同时,提出了修复方案,包括使用白名单校验反序列化类或通过Hook函数resolveClass进行控制。
摘要由CSDN通过智能技术生成

概述

序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。只有实现了 Serializable 和 Externalizable 接口的类的对象才能被序列化。
Java 程序使用 ObjectInputStream 对象的 readObject 方法将反序列化数据转换为 java 对象。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。

前提

一个类的对象要想序列化成功,必须满足两个条件:

  1. 该类必须实现 java.io.Serializable 接口。

  2. 该类的所有属性必须是可序列化的。如果有一个属性不是可序列化的,则该属性必须注明是短暂的

如果你想知道一个 Java 标准类是否是可序列化的,可以通过查看该类的文档,查看该类有没有实现 java.io.Serializable接口

漏洞示例

......
//读取输入流,并转换对象
InputStream in=request.getInputStream();
ObjectInputStream ois = new ObjectInputStream(in);
//恢复对象
ois.readObject();
ois.close();

上述代码中,程序读取输入流并将其反序列化为对象。此时可查看项目工程中是否引入可利用的
com

最低0.47元/天 解锁文章
hu4wufu
关注
专栏目录
Java代码审计反序列化漏洞篇
大河之犬的博客
03-25 1010
发送方必须将要发送的 Java 对象序列化为字节流,接收方则需要将字节流再反序列化,还原得到 Java 对象,才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时,就会造成一系列的安全问题。在 Java 原生的API 中,序列化的过程由类的方法实现,反序列化过程由类的方法实现。将字节流还原成对象的过程都可以称作反序列化,例如,JSON 串或 XML 串还原成对象的过程也是反序列化的过程。同理,将对象转化成 JSON 串或 XML 串的过程也是序列化的过程。
代码审计-反序列化RMI分析
cdyunaq的博客
03-30 3409
前言 在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制 在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。JNI在安全里面的运用就比较大了,既然可以调用C语言,那么后面的。。自行脑补。这个暂且忽略不讲,后面再说。如果使用或了解过python编写burp的插件的话,对这个Jython也不会陌生,如
java代码审计--反序列化
goddemon
09-15 1024
1.挖掘思路 反序列化利用链通常分为三部分,触发点、中继点、执行点 2.序列化和反序列化基础知识点 序列反序列化相关类与函数 Java.io.ObjectOutputStream //序列化实现方法-->从这个目标流写的和输出的都是序列java.io.ObjectInputStream //反序列化实现方法-->从这个输出流写的和输出的都是反序列化 //相关步骤 对象序列化步骤 1) 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流; 2) 通过对象输出流的wri
Java 代码审计---反序列化
最新发布
qq_45317844的博客
06-01 1064
序列化主要是将一个java对象转换为二进制字节流的过程,在学习反序列化之前,首先来学习一下序列化是什么,怎么进行,知其然,知其所以然。将一个对象进行序列化其实是将该对象的一些属性进行序列化,并不是对该对象的类,以及相关的方法也进行序列化为二进制数据。会被序列化到流中,以确保序列化和反序列化过程中类的版本一致性,如果反序列化时的。,Java会根据类的结构自动生成一个,但是当类的结构发生变化时,自动生成的。方法,那么在反序列化时,将会调用目标类自定义的。在反序列化中,如果反序列化的目标类自定义了。
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 935
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
Java反序列化漏洞分析
abg49988的博客
10-15 1413
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
java反序列化工具
11-21
然而,这个过程也可能引入安全风险,因为不安全的反序列化可能导致远程代码执行(RCE)漏洞。 在给定的标题和描述中,提到了几个关键的服务器端应用平台:JBoss、WebLogic和WebSphere。这些都是流行的Java企业级...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
Java反序列化工具.zip
05-31
同样,JBoss应用服务器也曾经遭受过类似的安全威胁,比如CVE-2017-12149,该漏洞允许远程攻击者通过反序列化操作执行服务器上的任意代码。 这些反序列化工具可能包含以下功能: 1. **Payload生成器**:创建特定格式...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md 第一的 4年前 java代码审计-表达式...
Java代码审计安全篇-反序列化漏洞
m0_63138919的博客
03-15 1476
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
Java代码审计12之反序列化漏洞的审计与利用
划水的小白白
08-20 735
1、重点函数, 2、漏洞源码 3、利用工具 ysoserial 4、修复漏洞
Java代码审计——fastjson 1.2.68 反序列化漏洞 Commons IO 2.x 写文件
王嘟嘟的博客
03-31 5014
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 这一篇应该是最后一个网上能找到的poc分析了。 0x01 环境 参考 https://mp.weixin.qq.com/s/6fHJ7s6Xo4GEdEGpKFLOyg
Java审计——命令执行
qq_36594628的博客
08-10 497
命令执行 一、什么是命令执行        命令执行(Command Injection)指在某些开发需求中,需要引入对系统本地命令的支持来完成某些特定的功能。当开发未对用户传入的参数进行严格的校验、过滤时,则很有可能会产生命令注入。攻击者使用命令注入来执行系统终端命令,直接获取服务器控制权限。 ​        在开发过程中,开发人员可能需要对文件进行新建、移动、修
JAVA代码审计java反序列化
知识分享官
09-23 391
序列化数据结构可以了解到包含了类的名称及serialVersionUID 的ObjectStreamClass描述符在序列化对象流的前面位置,且在 readObject反序列化时首先会调用resolveClass读取反序列化的 类名,所以这里通过重写ObjectInputStream对象的 resolveClass方法即可实现对反序列化类的校验。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期 的对象,在此过程中执行构造的任意代码
代码审计-变量覆盖和反序列化漏洞
weixin_44770698的博客
07-08 763
代码审计-变量覆盖与序列
java反序列化漏洞是怎么回事_Java审计之CMS中的那些反序列化漏洞
weixin_39631767的博客
02-25 205
Java审计之CMS中的那些反序列化漏洞0x00 前言过年这段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下。0x01 XStream 反序列化漏洞下载源码下来发现并不是源代码,而是一个的文件夹,里面都已经是编译过的一个个class文件。在一个微信回调的路由位置里面找到通过搜索类名Serialize关键字找到了一个工具类,并且参数是可控的。这里调用xstream.from...
java代码审计之浅谈Java反序列化漏洞修复方案
liguangyao213的博客
02-19 4166
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
Java Web中的反序列化安全漏洞深度剖析与防范研究
如果处理不当,这个过程可能会被恶意利用,导致"反序列化任意代码执行高危漏洞",即攻击者可以构造恶意的数据,当被错误地反序列化时,会执行预设的代码,从而造成严重的安全威胁。这一漏洞自Apache Commons ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值