一文了解反序列化漏洞

已于 2023-03-21 14:00:41 修改
阅读量976 收藏 6
点赞数 3
分类专栏: web安全 文章标签: java log4j web安全
于 2023-03-21 11:24:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allintao/article/details/129684668
版权

文章目录

一、反序列化漏洞

序列化和反序列化基础

首先我们得知道什么是序列化和反序列化,简单来说

序列化:就是将对象转化为字符串进行存储

反序列化:就是将字符串转化为对象

反序列化漏洞:就是在反序列化过程中,如果恶意者可以对将要转换的字符串进行操控,从而达到任意代码执行的操作,就是反序列化漏洞

二、关于反序列化你必须知道的几种漏洞

1.shiro-550反序列化漏洞

漏洞原理

apache shiro框架提供了rememberme的功能,用户登录成功后会生成经过加密 并编码的cookie,在服务端对remeberme的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。那么,payload产生的过程:命令=>序列化=>AES加密=>base64编码=>rememberme cookie值,再整个漏洞利用过程中,比较重要的是AES加密的密钥,如果没有修改默认的密钥那么就很容易知道密钥了,Payload构造起来也是十分简单

影响版本

apche shiro <1.2.4

shiro反序列化特征

返回包中会包含rememberme=deleteme字段

这种情况大多会发生在登陆处,返回包里包含remeberme=deleteme字段,这个是再返回包中(Response)如果返回的数据包中没有remeberme=deleteme字段的话,可以再数据包中的cookie中添加remeberme=deleteme字段也会在返回包中有这个字段

漏洞的简单介绍利用
  1. 通过再cookie的rememberme字段中插入恶意payload
  2. 触发shiro框架的rememberme的反序列化功能,导致任意代码执行
  3. shiro1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==
  4. 由于开发人员未修改AES密钥而直接使用shiro框架,导致了该问题

2.shiro-721反序列化漏洞

漏洞原理

apache shiro rememberme cookie默认通过AES-128-CBC模式加密,这种加密方式容易受到Padding Oracle Attack(Oracle填充攻击),利用有效的rememberme cookie作为Padding Oracle Attack的前缀,然后精心构造rememberme cookie值来实现反序列化漏洞攻击

  • AES-128-CBC

    • AES指“高级加密标准”,是一种对称加密的分组加密算法
    • 128指的密钥长度
    • CBC指“棉麻分组链接”加密模式
    • PKCS5Padding是Apache Shiro中默认填充方式,最后一个明文分组缺少N个字节,则填充N个0x0N

  • 在Apache Shiro中默认使用CBC加密模式与PKCS5Padding填充方式,CBC加密模式容易遭到Padding Oracle Attack,攻击者可以通过枚举IV的方式计算出全部明文,并且可以通过CBC Byte-Flipping Attack篡改某一段的明文

  • Padding Oracle Attack利用前提

    • 攻击者能够获得密文(CipherText)与附带在密文前面的初始化向量(IV)
    • 服务端对密文解密后会判断Padding是否有效,并根据不同的判定结果返回不同的响应信息

  • CBC Byte-Flipping Attack 利用前提:明文和密文已知

简单来说就是:

shiro721用到的加密方式是AES-CBC,而且其中的ase加密的key基本猜不到,是系统随机生成的,而cookie解析过程是一样的,也就意味着如果能伪造恶意的rememberme字段的值且目标含有可利用的攻击链的话,还是能够进行RCE攻击的

影响版本

1.2.5

1.2.6

1.3.0

1.3.1

1.3.2

1.4.0-RC2

1.4.0

1.4.1

利用条件

知道已经登录用户的合法cookie且目标服务器含有可利用的攻击链就可以进行漏洞利用

3.Fastjson反序列化漏洞

什么是Fastjson

Fastjson是java的一个库,可以通过toJSONString()方法将java对象转化为json格式的字符串,也可以通过parseObject()方法将json格式的字符串转化为java对象

Fastjson反序列化漏洞原理

在反序列化的时候,会进入parseField方法,调用setValue(object,value)方法,如果在这里构造恶意的payload,就会造成最后的代码执行,这个漏洞的利用作用点有两个:

  1. 第一个需要我们指定一个类,这个类的作用是为了让程序获取这个类进行反序列化操作
  2. 第二是将需要执行的代码提供给程序,在这里使用rmi模型,反序列化的时候就会请求rmi服务器,地址为dnslong.cn/xxx,然后加载恶意xxx class文件从而造成代码执行
Fastjson反序列化漏洞的前提条件
  1. 目标服务器存在Fastjson
  2. 没有对用户传输的数据进行严格过滤

4.log4j2反序列化漏洞

什么是log4j2

log4j2是apache基于Java的日志记录工具

关于log4j2要知道的知识
RMI

java远程方法调用,是java变成语言中一种用于实现远程过程调用的应用程序编程接口

JRMP

java远程方法协议,用于查找和引用远程对象的协议,适用于RMI过程中的协议

JNDI

java命名和目录接口,是java目录服务应用程序接口(API),提供目录系统,将服务名称与对象关联起来,从而使得开发人员在开发过程中可以使用名称来访问对象

LDAP

LDAP轻型目录访问协议,LDAP可以理解为简单存储数据的树状结构数据库,适合用于查询,也是JNDI的实现,通过名称(目录路径)查询到对象(目录下的文件)

Codebase

Codebase就是存储代码或者编译文件的服务,其可根据名称返回对应的代码或者编译文件,如果根据的是类名,则提供对应的class文件

漏洞原理

log4j2默认支持解析IDAP/RMI协议,并会通过名称从IDAP服务端其获取的对应class文件,并使用ClassLoader在本地加载LDAP服务端返回的Class类,这就为攻击者提供了攻击途径,攻击者可以在界面传入包含恶意内容(可以提供恶意的class文件)的IDAP协议内容(如${jndi:ldap://localhost:9999/Test}恶意内容),该内容传递到后端被log4j2打印出来,就会触发恶意的class加载执行(可执行任意后台命令),从而达到攻击原理

5.Weblogic T3反序列化漏洞

weblogic T3反序列化漏洞原理

远程攻击者利用该漏洞在未授权的情况下发送数据,通过T3协议,利用RMI机制的缺陷(绕过weblogic黑名单限制),然后将加载的内容利用readObject解析,从而造成反序列化远程代码执行漏洞,所以开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以达到执行任意反序列化的目的(获取目标服务器的权限)

6.Weblogic XMLDecoder反序列化漏洞

Weblogic XMLDecoder反序列化漏洞原理

Weblogic的WLS Security组件对外提供webservice服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令

allintao
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【网络安全 | CTF】一文带你了解SSTI漏洞 + Web_python_template_injection解题详析
等风来
05-28 5522
2.命令执行注入:攻击者在应用程序中的命令执行语句中注入模板代码,从而执行任意系统命令,获取系统权限,对系统进行攻击等。3.变量渲染注入:攻击者在应用程序中的变量渲染语句中注入模板代码,从而影响页面的输出,导致代码执行或信息泄漏等问题。在 Python 3 中,当对一个未导入的模块(如 os 模块)执行 eval() 函数时,linecache 模块会发出一个警告,可利用这个警告来读取敏感信息。1.条件语句注入:攻击者在应用程序中的条件语句中注入模板代码,从而控制条件判断的分支,导致程序的逻辑错误。
一文看懂——序列数据的生成:GAN的方法
华章IT官方博客
01-20 5193
导读:序列数据指的是一种按照先后顺序排列的离散数据,这类数据虽然不如图像数据那么直观,但其实在实际生活中非常常见。比如我们平时浏览网站的行为其实就是序列数据,我们会不断地在各种不同的网页链...
反序列化漏洞
weixin_46476861的博客
03-23 8717
什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时
PHP反序列化漏洞
m0_57379855的博客
03-12 3088
PHP反序列化漏洞PHP类与对象类对象Magic函数PHP序列化与反序列化不同类型的序列化pubilc与private反序列化反序列化漏洞的出现CTF题目分析PHP反序列+文件包含攻防世界Typecho反序列化漏洞PHP反序列化漏洞防御 PHP类与对象 类 一个共享相同结构和行为的对象的集合 对象 类的实例 Magic函数 PHP序列化与反序列化 序列化:把对象转化为可传输的字节序列过程称为序列化,可以在任何地方 反序列化:把字节序列还原为对象的过程称为反序列化。 不同类型的序列化 布尔值:b:
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1446
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
反序列化漏洞汇总
hackzkaq的博客
12-08 5162
一.反序列化的基本内容 类对象方法 类(Class): 用来描述具有相同的属性和方法的对象的集合。 它定义了该集合中每个对象所共有的属性和方法。对象是类的实例。 对象:通过类定义的数据结构实例。对象包括两个数据成员(类变量和实例变量)和方法。 对象:某一个具体的事物、实体或事例 类是类型,比如人类,犬类; 对象是某种类的一个实例(实际的例子),比如身为人类的你就是一个对象,你家养的狗就属于犬类的一个对象,或者说一个实例; 你可能经常会听到“实例化对象”,这句话的意思就是创建对象,此处的实例名词作动词用,作名
反序列化漏洞(PHP)
qq_42383069的博客
05-18 6511
反序列化漏洞 0x01. 序列化和反序列化是什么 序列化:变量转换为可保存或传输的字符串的过程; 反序列化:把序列化的字符串再转化成原来的变量使用 作用:可轻松地存储和传输数据,使程序更具维护性 0x02. 为什么会有序列化 序列化用于存储或传递 PHP 的值的过程中,同时不丢失其类型和结构 0x03. 序列化和反序列化代码示例 <?php class User { public $username = 'admin'; public $password = '123456';
反序列化漏洞详解
weixin_56714714的博客
07-25 775
反序列化漏洞 什么是序列化和反序列化? ​ PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果 ​ 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行getshell等一系列不可控的后果。 ​ 反序列化漏洞并不是PHP特有,也存在于java,python等语言中,但其原理基本相同 为什么存在反序列化? ​ 1.大型网站中类创建的对象多的时候会占用大量的空间,反序列化
fastjson1.2.75暂未修补的反序列化漏洞
d3f4ult的博客
12-30 7515
目录前言旧版本漏洞回顾1.2.68的漏网之鱼“系统的白名单”"通行证""绕过" 前言 这几天在一直研究fastjson反序列化漏洞,从1.2.24版本开始一直到1.2.68版本,其漏洞分析及其利用在网上还是很多的,但不知是大佬们有意为之还是怎样,各博客上写的payload大致差不多,但其实在1.2.68的漏洞中,能用的思路不只有AutoCloseable这一个,还有其他方式也有可能导致RCE,我相信大佬们的手中依然有没有放出的payload。 其实1.2.75漏洞(在我看来确实是漏洞,因为确实执行了反序列化
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1538
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
CTF—Python考点 SSTI&反序列化&字符串
qi_SJQ_的博客
03-01 4018
ctf题型分类: 1.CTF—Python—支付逻辑&JWT&反序列化: 题目:2019 CISCN 华北赛区Day1 Web2(全国大学生信息安全竞赛) 先写个爆破请求脚本,爬取请求到内容页面哪个存在lv6图片,得到在181页: 或者这个脚本,都可以: import requests url = "http://web44.buuoj.cn/" for i in range(1, 2000): r = requests.get(url + "shop?page=" + st
RMI反序列化漏洞 修复
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化漏洞,需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些反序列化漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列化对象过滤:过滤掉不受信任的序列化对象,只反序列化可信任的对象,这样可以有效减少攻击面。 3. 自定义序列化/反序列化机制:使用自定义的序列化/反序列化机制,不使用Java默认的序列化/反序列化机制,可以避免一些常见的反序列化漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI反序列化漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值