[Java反序列化]jdk原生链分析

最新推荐文章于 2024-10-07 11:22:30 发布
最新推荐文章于 2024-10-07 11:22:30 发布
阅读量300 收藏
点赞数
分类专栏: Java 程序员 计算机 文章标签: java 开发语言 android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaMonsterr/article/details/124900147
版权
本文详细分析了JDK7u21中与Java反序列化相关的TemplatesImpl链,探讨了如何触发equalsImpl方法,控制memberMethods以实现任意方法调用。通过HashMap在反序列化过程中的put操作,利用hashCode方法的特性构建了特定的链。文章还讨论了为何选择特定的方法和类,并分析了官方的修复措施以及漏洞的影响范围。
摘要由CSDN通过智能技术生成

JDK7u21

在很多链中,TemplatesImpl一直发挥着不可或缺的作用,它是位于jdk源码中的一段Gadget: getOutputProperties()->newTransformer()->getTransletInstance()->...

templatesImpl利用回顾:

com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet

其中只要能触发上述任意一个函数的,都可以完成TemplatesImpl的动态加载字节码功能。1.所以我们看jdk中是否有调用这三个函数?

还记得 sun.reflect.annotation.AnnotationInvocationHandler 嘛?这可是java反序列化中的重要角色。而jdk7u21算是对其利用的再挖掘。

为了简单直接,我把反编译的代码中的var变量替换了自定义变量

//AnnotationInvocationHandler.java
private Boolean equalsImpl(Object var1) {
    if (var1 == this) {
        return true;
    } else if (!this.type.isInstance(var1)) {
        return false;
    } else {
        Method[] methods = this.getMemberMethods();//获取this.type的所有方法
        int methods_num = methods.length;

        for(int var4 = 0; var4 < methods_num; ++var4) {
            Method var5 = methods[var4];
            String var6 = var5.getName();
            Object var7 = this.memberValues.get(var6);
            Object var8 = null;
            AnnotationInvocationHandler var9 = this.asOneOfUs(var1);//判断var1是否是代理类
            if (var9 != null) {
                var8 = var9.memberValues.get(var6);
            } else {
                try {
                    var8 = var5.invoke(var1);	//调用任意方法
                } catch (InvocationTargetException var11) {
                    return false;
                } catch (IllegalAccessException var12) {
                    throw new AssertionError(var12);
                }
            }

            if (!memberValueEquals(var7, var8)) {
                return false;
            }
        }

        return true;
    }
}

private Method[] getMemberMethods() {
    if (this.memberMethods == null) {
        this.memberMethods = (Method[])AccessController.doPrivileged(new PrivilegedAction<Method[]>() {
            public Method[] run() {
                Method[] var1 = AnnotationInvocationHandler.this.type.getDeclaredMethods();
                AccessibleObject.setAccessible(var1, true);
                return var1;
            }
        });
    }

    return this.memberMethods;
}

到这里,可以看到this.memberMethods可控,到现在也就是说如果能让AnnotationInvocationHandler调用equalImpl方法,且控制其中的memberMethods,就可以完成任意方法的调用了。

2.怎么触发equalsImpl?

public Object invoke(Object var1, M
最低0.47元/天 解锁文章
JavaMonsterr
关注
专栏目录
【项目实战】Java的序列化与反序列化
本本本添哥
04-18 262
Java代码进行序列化和反序列化, 除了使用Java内置的序列化API外,还可以使用Apache Commons Lang库中的SerializationUtils类。
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1024
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
Java反序列化漏洞题看CodeQL数据流
weixin_62421895的博客
07-15 424
现在已经确定了(a)程序中接收不受信任数据的地方和(b)程序中可能执行不安全的反序列化的地方。现在把这两个地方联系起来未受信任的数据是否流向潜在的不安全的反序列化调用?在程序分析中,我们称之为数据流问题。数据流作用这个表达式是否持有一个源程序中某一特定地方的值呢?污点分析是一种跟踪并分析污点信息在程序中流动的技术。在漏洞分析中,使用污点分析技术将所感兴趣的数据(通常来自程序的外部输入)标记为污点数据,然后通过跟踪和污点数据相关的信息的流向,可以知道它们是否会影响某些关键的程序操作,进而挖掘程序漏洞。...
Javaweb安全——反序列化漏洞-原生利用JDK7u21
weixin_43610673的博客
07-08 585
先来看看ysoserial当中payload的调用:从TemplatesImpl.getOutputProperties()开始是很熟悉的,而调用它用的类也在之前CC1利用出现过:当时只用到了这个类会触发 Map#put 、 Map#get 的特点,这条利用则是用到了其方法去调用 有个很明显的反射调用 ,而 memberMethod 由getMemberMethods()方法获得,最终是由this.type.getDeclaredMethods()得到的type属性设置的类的所有方法。 equals
java原生序列化与反序列化
weixin_46602525的博客
06-14 347
序列化与反序列化序列化与反序列化的三种实现方式 序列化与反序列化的三种实现方式 student类实现serializable接口,ObjectOutputSteam和ObjectInputSteam采用默认的序列化和反序列化(writeObject,readObject)方法实现对Student对象的实列变量进行序列化和反序列化 //main import java.io.*; public class Demo { public static void main(String[] args)
JAVA】序列化,反序列化
codeDonald的博客
06-23 189
ObjectOutputStream ObjectInputStream package IO.序列化反序列化; /* */ import org.junit.Test; import java.io.*; public class ObjectInputOutputStreamTest { //序列化 @Test public void s1() throw...
六十一、JDK原生的序列化详解
I want to know a little more.
01-24 1118
相关接口及类 Java为了方便开发人员将Java对象进行序列化及反序列化提供了一套方便的API来支持。其中包括以下接口和类: java.io.Serializable java.io.Externalizable ObjectOutput ObjectInput ObjectOutputStream ObjectInputStream Serializable 接口 类通过实...
java序列化与反序列化(2)------jdk原生序列化机制Serializable
远方和诗 的博客
10-03 1196
使用jdk原生的序列化机制,我们要把需要序列化的类实现Serializable接口,这是一个标记接口没有声明任何的方法。
Javaweb安全——反序列化漏洞-原生利用JDK8u20
weixin_43610673的博客
10-24 1586
回顾一下JDK7u21那个子,主体部分是通过方法去调用。equalsImpl会将this.type 类中的所有方法遍历并执行,通过设置Templates类,则势必会调用到其中的 getOutputProperties()方法,进而触发任意代码执行。从7u25修复了这个利用,AnnotationInvocationHandler 的反序列化逻辑发生了改变,将会判断this.type字段值是否是 Annotation 注解类型,不是则直接抛出异常。
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 3093
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
Java序列化与反序列化详解
靖节先生的博客
03-24 1510
Java序列化与反序列化1. 序列化与反序列化概述1.1 序列化与反序列化简介1.2 序列化与反序列化作用1.3 序列化与反序列化工具2. 常用序列化工具详解2.1 serialVersionUID2.2 fastjson2.3 Kryo2.4 jackson2.5 gson2. 代码实现 1. 序列化与反序列化概述 1.1 序列化与反序列化简介 序列化:把对象转换为字节序列的过程称为对象的序列化。 反序列化:把字节序列恢复为对象的过程称为对象的反序列化。 1.2 序列化与反序列化作用 序列化与反序列化的作
理解对象原型和原型
qq_43067585的博客
11-25 260
本篇文章带大家介绍一下JavaScript中的对象原型和原型。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。 对象原型 相信大家都这样用过 map: letarr=[0,1,2] letdoubleArr=arr.map(c=>c*2) console.log(doubleArr)//0,2,4 不知道你有没有想过,arr本身并没有设定map属性,那为什么可以用map这个函数呢? 把它打印出来看看: console...
JDK接合集
朝闻道_的博客
02-23 235
BigDecimal精度问题:http://blog.csdn.net/qishuo_java/article/details/38987463HashMap底层原理: https://www.cnblogs.com/wuhuangdi/p/4175991.html匿名内部类的方式new HashMap, new ArrayList同理:https://www.cnblogs.com/xdouby...
CodeQL学习
公众号shadow sock7
04-17 6827
CodeQL环境搭建 参考:https://help.semmle.com/codeql/codeql-cli/procedures/get-started.html 下载 下载接:https://github.com/github/codeql-cli-binaries/releases 下载最新的codeql.zip就可以了,比如: https://github.com/github/cod...
6-java安全——java反序列化漏洞利用
网络安全
07-01 4210
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
JDK1.0主要特性
FoolRabbit的专栏
10-06 746
JDK1.0主要特性。
2024Java最新面试题总结(针对于一些小厂、中厂)
最新发布
weixin_62375676的博客
10-07 1525
2024最新Java面试题,针对一些小厂,中厂
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值