Java反序列化漏洞

最新推荐文章于 2024-06-03 10:50:40 发布
最新推荐文章于 2024-06-03 10:50:40 发布
阅读量703 收藏
点赞数
分类专栏: 学习笔记 文章标签: java jvm 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MRS_jianai/article/details/129116076
版权

1.Java序列化与反序列化

序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。

  • **Java序列化:**把Java对象转换为字节序列的过程,便于保存在内存、文件、数据库中。
  • **Java反序列化:**把字节序列恢复为Java对象的过程,ObjectInputStream类的readObject()方法用于反序列化。


那为什么要序列化文件呢?
实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 Session 对象一直有效,就需要有一种机制将对象从内存中保存入磁盘,并且待系统重启后还能将 Session 对象恢复到内存中,这个过程就是对象序列化与反序列化的过程,从而避免了用户会话的有效性受系统故障的影响。
此外,在 Java 工程中,序列化还广泛应用于 JMX,RMI,网络传输(协议包对象)等场景,可以说序列化机制赋予了内存对象持久化的机会,就像虚拟机镜像(VMware Take a snapshot),也可以将序列化机制看作是内存对象的一种镜像机制。
(这里要是不懂的话可以多读几遍)

我们来简单实现以下Java序列化与反序列化之间的过程:
解释:
我们先将一句话进行序列化,然后保存为test.txt文件,然后对其进行反序列化,将其还原出来!
image.png
代码附上:

package Demo; 
import java.io.*;

public class Main {
    public static void main(String[] args) {
        Main m = new Main();
        try {
            m.run();
            m.run2();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            throw new RuntimeException(e);
        }
    }

    public void run() throws IOException {
        FileOutputStream out = new FileOutputStream("test.txt");
        ObjectOutputStream obj_out = new ObjectOutputStream(out);
        User u = new User();
        u.setName("Java是世界上最好的语言");
        obj_out.writeObject(u);
        obj_out.close();
        System.out.println("User对象序列化成功!");
    }

    public void run2() throws IOException, ClassNotFoundException {
        FileInputStream in = new FileInputStream("test.txt");
        ObjectInputStream ins = new ObjectInputStream(in);
        User u = (User) ins.readObject();
        System.out.println("User对象反序列化成功!");
        System.out.println(u.getName());
        ins.close();
    }
}

package Demo; 

import java.io.Serializable;

public class User implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
}

2.Externalizable接口

实现Externalizable接口进行序列化和反序列化,必须实现writeExternal、readExternal方法,并且还要实现一个类的无参构造方法。

 import java.io.Externalizable;
import java.io.IOException;
import java.io.ObjectInput;
import java.io.ObjectOutput;
 
public class biu implements Externalizable {
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    private String name;
    //实现无参构造方法
    public biu(){
        System.out.println(this.getClass()+"无参构造方法被调用");
    }
    //实现writeExternal方法
    public void writeExternal(ObjectOutput out) throws IOException {}
    //实现readExternal方法
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {}
}

用法和Serializable接口一样!

3.readObject()方法

这个方法在反序列化漏洞中起到了重要的作用,因为在序列化过程中,JVM虚拟机会试图调用对象类里的 writeObject()和 readObject() 方法,进行用户自定义的序列化和反序列化,如果没有这样的方法,则默认调用是 ObjectOutputStream 的 defaultWriteObject() 方法以及 ObjectInputStream 的 defaultReadObject() 方法。
实现了Serializable接口可以执行的方法包括readObject()、readObjectNoData()、readResolve(),以及实现了Externalizable接口的readExternal()方法。这些在找反序列化漏洞时都需要重点关注。

import java.io.ObjectInputStream;
import java.io.Serializable;
public class user implements Serializable{
    public user(){
        System.out.println(this.getClass()+"无参构造方法被调用");
    }
    public user(String name){
        System.out.println(this.getClass()+"user(String name)构造方法被调用");
        this.name=name;
    }
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public String toString(){
        System.out.println(this.getClass() + "的toString()被调用");
        return "userclass{name="+getName()+"}";
    }
    private void readObject(ObjectInputStream in) throws Exception{
        //执行默认的readObject()方法
        in.defaultReadObject();
        System.out.println(this.getClass() + "的readObject()被调用");
        //windows重点
        Runtime.getRuntime().exec(new String[]{"cmd", "/c", name});
    }
    private String name;
}

在readObject()方法中存在Runtime.getRuntime().exec(new String[]{“cmd”, “/c”, name});name为执行命令参数,那么我们可以构造一个恶意的对象,将name赋值为我们想要执行的命令,那么当反序列化时就可以触发readObject()造成RCE。

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.io.ObjectInputStream;
import java.io.FileInputStream;
 
 
public class UserSerializable {
    public static void main(String[] args) throws Exception {
        user user = new user("calc");
        user.setName("calc");
        //序列化对象
        serialize(user);
        //反序列化
        user user1 = unserialize();
        System.out.println(user1);
    }
        public static void serialize(user user) throws Exception {
            FileOutputStream fout = new FileOutputStream("user.ser");
            ObjectOutputStream out = new ObjectOutputStream(fout);
            out.writeObject(user);
            out.close();
            fout.close();
            System.out.println("序列化完成.");
    }
        public static user unserialize() throws Exception{
 
            FileInputStream fileIn = new FileInputStream("user.ser");
            ObjectInputStream in = new ObjectInputStream(fileIn);
            user user = (user) in.readObject();
            in.close();
            fileIn.close();
            System.out.println("反序列化完成.");
            return user;
        }
}

可以看到在上图中不仅触发了重写的readObject()方法弹出calc程序,而且还触发了如toString()方法、setName()方法等,所以在实际寻找利用链时应该不局限于readObject()方法,其他方法中如果有执行命令的函数也可以进行利用。
image.png
当然,在实际情况中不可能会出现开发这样编写代码,这里是为了方便展示而进行编写,所以反序列化漏洞通常会需要Java的一些特性进行配合比如反射(invoke),然后就是利用链的寻找。
一般,java反序列化漏洞需要三个东西

  • 反序列化入口
  • 目标方法
  • 利用链

补充

标志

数据以rO0AB开头,基本可以确定这串就是JAVA序列化base64加密的数据。
如果以aced开头,那么他就是这一段java序列化的16进制

工具

ysoserial是一个生成序列化payload数据的工具。

java -jar ysoserial-0.0.4-all.jar CommonsCollections1 '想要执行的命令' > payload.out
小秋LY
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Web安全--序列漏洞java篇)
bobo_milk的博客
11-29 3106
java序列参考
java序列漏洞挖掘
qq_45001989的博客
09-08 1135
java序列漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列   4)JMX 同样用于处理序列对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定序列输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
Java 序列漏洞
qq_61553520的博客
05-24 4792
在各种编程语言的序列漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式应,进而影响到上层得操作系统。
详解Java序列漏洞
最新发布
爱玩游戏的黑客的博客
06-03 638
如果需要将某个对象保存到磁盘上或者通过网络传输,那么这个类应该实现 Serializable 接口或者Externalizable接口之一。使用到JDK中关键类 :ObjectOutputStream (对象输出流) 和 ObjectInputStream (对象输入流)ObjectOutputStream 类中:通过使用 writeObject (Object object) 方法,将对象以二进制格式进行写入。ObjectInputStream类中:
Java 安全之序列漏洞
hl1293348082的专栏
03-30 7975
1.序列序列序列序列对于 Java 程序员来说,应该不算陌生了,序列序列简单来说就是 Java 对象与数据之间的相互转。 那么对于完全面向对象的 Java 语言来说为什么要有序列机制? 实质上,序列机制并不只局限于 Java 语言,序列的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
Java序列漏洞分析
qq_51453285的博客
06-10 1067
Java序列漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列序列机制,通过在序列数据中插入恶意代码,导致序列过程中执行恶意代码。Java序列漏洞是由于Java序列机制本身的缺陷导致的。为了防止恶意序列数据被序列,可以在程序中对未知的序列数据进行拒绝,或者对序列数据进行白名单或黑名单的过滤。Java序列漏洞的攻击方式主要有两种:基于本地文件的序列攻击和基于网络的序列攻击。
Java序列漏洞及实例详解
ran的博客
04-15 3683
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行序列的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将序列的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列的内容。执行序列部分的代码,可以看到其序列成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列内容。
Java 序列漏洞原理
Venscor技术养成之路
10-27 2474
最近做白盒审计,涉及到了java序列代码执行漏洞。由于接触web较晚,所以之前并未研究过此漏洞,这次出于工作需要,特意花了一点时间研究下。一、漏洞怎么生产的如果一个应用接受序列数据,并且没有对序列的对象做限制,就可能导致代码执行。(使用了有安全缺陷的Apache Commons Collections jar包) public static void main(String[] a
Java序列漏洞利用工具.zip
04-10
Java序列漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列序列过程中的安全问题。序列是将对象状态转换为可存储或传输的数据格式的过程,而序列则是将这些数据恢复为原来的对象...
Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查工具CVE-2017-10271
11-11
Java序列漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java序列漏洞检查工具V1.2_Weblogic XML序列漏洞检查...
Java序列漏洞介绍书籍
08-17
Java序列漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。序列是将已序列的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
Java序列漏洞利用工具V1.7.jar
03-25
Java序列漏洞利用工具
java序列漏洞-验证.rar
06-25
Java序列漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列序列是常见的数据传输和持久手段,允许对象的状态被转换为字节流,...
【代码扫描修复】不安全的序列攻击(高危)
ACGkaka的博客
11-07 1904
【代码扫描修复】不安全的序列攻击(高危)
java序列漏洞分析
weixin_47623655的博客
03-30 2354
Java序列漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列序列机制,通过在序列数据中插入恶意代码,导致序列过程中执行恶意代码。Java序列漏洞是由于Java序列机制本身的缺陷导致的。为了防止恶意序列数据被序列,可以在程序中对未知的序列数据进行拒绝,或者对序列数据进行白名单或黑名单的过滤。Java序列漏洞的攻击方式主要有两种:基于本地文件的序列攻击和基于网络的序列攻击。
java序列漏洞(入门)
xiaoheizi的博客
07-02 769
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行序列代码,可以看到序列的数据被还原了。
Java序列序列(详解)
热门推荐
qq_62414755的博客
07-20 3万+
java序列及可序列讲解,代码清晰易懂。
Java 基础篇】Java序列序列详解
繁依Fanyi的博客
06-26 5497
本文详细介绍了Java序列序列的原理、使用方法和常见应用场景。通过实现接口,可以实现对象的序列序列序列序列是一种重要的机制,可以实现对象的持久存储、网络传输和缓存等功能。希望本文对你理解和应用Java序列序列有所帮助!
JAVA序列漏洞
KHOST的博客
05-11 553
Part 1 序列漏洞 JAVA序列漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java序列功能,于是攻击者可以通过构造特定的恶意对象序列后的流,让目标序列,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小秋LY

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值