Java反序列化漏洞—基础

最新推荐文章于 2024-06-03 10:50:40 发布
最新推荐文章于 2024-06-03 10:50:40 发布
阅读量419 收藏 1
点赞数 1
分类专栏: java安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ewyherayh/article/details/114582846
版权

前言

为了更接近目标(红队),需要先将常规打点的基础打好。虽说PHP很流行,但市场需求、语言特性和培训机构,工作中大多以Java为主,因此漏洞也是Java最多,所以学习JAVA漏洞非常有必要。

反序列化学习

最近目标:掌握Fastjson漏洞。

序列化过程

PHP

    class test{ 											//类    
     $flag = "flag{111}";			  
     }
    $test = new test;										//实例化
    $data_ser_result = serialize($test);					//序列化
	$data_un_result  = unserialize($data_ser_result);		//反序列化
 ?>

序列化的过程可以看成将类进行打成压缩包,而反序列化就是解压
实例是占内存的,而类只是个抽象的,不占内存

可以发现PHP序列化和反序列化非常简单,只用调用一个行数即可,序列化后输出结果也只是一条字符串。

O:4:"test":1:{s:4:"flag";s:9:"flag{111}";}         			//上面代码序列化的结果

class test{ 											    //反序列化结果  
     $flag = "flag{111}";			  
     }

JAVA

Java和php序列化过程一样,只不过复杂一些。

package test;

import java.io.*;

public class Serialize{

    public static void main(String args[]) throws Exception {
        String obj = "ls";										 //对象
        
		//将序列化对象写入a.ser
        FileOutputStream fos = new FileOutputStream("aa.ser");    
        ObjectOutputStream os = new ObjectOutputStream(fos);	 
        os.writeObject(obj);										//序列化
        os.close();
         
        // 从文件a.ser中读取数据
        FileInputStream fis = new FileInputStream("aa.ser");
        ObjectInputStream ois = new ObjectInputStream(fis);


        // 通过反序列化恢复对象obj
        String obj2 = (String)ois.readObject();						//反序列化
        System.out.println(obj2);
        ois.close();
    }
}

上面的代码是将对象obj序列化后写入aa.ser文件,然后才从aa.ser文件读取并反序列化。
序列化结果
在这里插入图片描述
反序列化结果
在这里插入图片描述
WinHex打开aa.ser文件发现可以看到对象的信息。写到文件的便是该对象序列化后的二进制数据
在这里插入图片描述

JAVA小小的进阶

上面序列化的只是一个对象,但在现实中不可能就传输一个对象,因此将对象变成一个类,可以发现没有什么区别,只是多了一步,将类实例化。

package test;
import java.io.*;

class User implements Serializable {

    public String name;
    public int age;
    public String  getUserInfo(){
        return "name: "+this.name +" age: "+this.age;
    }
}

public class Serialize{
	
    	public static void main(String[] args) throws Exception {

            User user = new User();
            user.name = "啦啦啦啦啦啦啦";
            user.age = 1;

            try {

                FileOutputStream fos = new FileOutputStream("user.txt");
                ObjectOutputStream os = new ObjectOutputStream(fos);
                os.writeObject(user);

                os.close();
                fos.close();

            } catch (IOException e) {
                e.printStackTrace();
            }

            FileInputStream fis = new FileInputStream("user.txt");
            ObjectInputStream ois = new ObjectInputStream(fis);
            User user_out = (User) ois.readObject();

            ois.close();
            fis.close();
            System.out.println(user_out.getUserInfo());
        }
}

在这里插入图片描述

写入恶意代码

User类注释,重写ObjectInputStream的readObject方法,将它放在自定义ShellClass类中。

package test;
import java.io.*;

/*class User implements Serializable {
   public String name;
   public int age;
   public String  getUserInfo(){
        return "name: "+this.name +" age: "+this.age;
    }

}*/

class ShellClass implements Serializable{
	 public String name;
	 private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
	        in.defaultReadObject();
	        Runtime.getRuntime().exec("calc.exe");
	    }
}

public class Serialize{
    	public static void main(String[] args) throws Exception {

            //User user = new User();
            //user.name = "啦啦啦啦啦啦啦";
           // user.age = 1;
    		ShellClass shell = new ShellClass();
    		
            try {

                FileOutputStream fos = new FileOutputStream("user.txt");
                ObjectOutputStream os = new ObjectOutputStream(fos);
                
                os.writeObject(shell);
                os.close();
                fos.close();
                
            } catch (IOException e) {
                e.printStackTrace();
            }

            FileInputStream fis = new FileInputStream("user.txt");
            ObjectInputStream ois = new ObjectInputStream(fis);
           
            ShellClass a = (ShellClass)ois.readObject();
            ois.close();
            fis.close();
        }    
}

其实就是写一个readObject()方法,将原有的ObjectInputStream的readObject()方法重新调用,并在后面跟上自己的恶意代码

JAVA反射

java反射机制

Java 反射机制在程序运行时,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意一个方法和属性。这种 动态的获取信息 以及 动态调用对象的方法 的功能称为 java 的反射机制。

正射

Student student = new Student();
student.doHomework("数学");

反射

 Class clazz = Class.forName("reflection.Student");
 Method method = clazz.getMethod("doHomework", String.class);
 Constructor constructor = clazz.getConstructor();
 Object object = constructor.newInstance();
 method.invoke(object, "语文");

可以发现上面正射和反射看起来好像没什么区别,但对于编译的电脑来说却区别很大
一个是我想知道这个类在哪、做什么,然后我才开始运行代码,实例化后调用方法,另一个是我先运行代码,再获取有这个类在哪、做什么的。

具体参考
谈谈Java反射:从入门到实践,再到原理
为什么需要Java反射?
大白话说Java反射:入门、使用、原理

反射的使用

User类

package test;
import java.lang.reflect.*;

 class User {
    public String name;

    public User(String name) {
        this.name=name;
    }
    public void setName(String name) {
        this.name=name;
    }
    public String getName() {
        return name;
    }
}

获取Class类对象

获取反射中的Class对象有三种方法

Class class1 = Class.forName("test.User");

Class class1 = User.class;
 
User user = new User();
Class class1 = user.getClass();

利用类对象新建对象

public static void main(String[] args) throws Exception {
		Class classa = Class.forName("test.User");
		Constructor constructor=classa.getConstructor(String.class);
		User student1 = (User) constructor.newInstance("a");
		System.out.println(student1);
	}

获取类成员变量

public static void main(String[] args) throws Exception {
		Class user = Class.forName("test.User");
        Field name= user.getField("name");
        System.out.println(name);
	}

获取类的方法

public static void main(String[] args) throws Exception {
		Class user = Class.forName("test.User");
		 Method[] methods = user.getMethods();
	        for (int i = 0; i < methods.length; i++) {
	            System.out.println(methods[i]);
	        }
	}

通过反射构造恶意代码

在上面有写过一个恶意代码

java.lang.Runtime.getRuntime().exec("calc.exe");

我们将它用反射方法写出来

Class runtimeClass=Class.forName("java.lang.Runtime");
Object runtime=runtimeClass.getMethod("getRuntime").invoke(null);
runtimeClass.getMethod("exec", String.class).invoke(runtime,"calc.exe");

为什么使用反射呢

代码乱写的,了解个意思就好,有错勿喷

不使用反射

interface Apple{
xxxxxx
}
class Red implements Apple{
	public void shopping(){
		System.out.println("red");
	}
}

class Black implements Apple{
	public void shopping(){
		System.out.println("black");
	}
}

class Stop{
	public string color(String apple_color){
		if(apple_color=="red"){
			result = new Red();
		}else(apple_color=="black"){
			result = new Black();
		}
		retrun result;
	}
}

class Buy{
	public static void main(String[] a){
		Apple s = Stop.color("red");
		s.shopping();
	}
}

使用反射

interface Apple{
xxxxxx
}
class Red implements Apple{
	public void shopping(){
		System.out.println("red");
	}
}

class Black implements Apple{
	public void shopping(){
		System.out.println("black");
	}
}

class Stop{
	public string color(String apple_color){
		Apple result = (Apple)Class.forName(apple_color).newInstance();
		retrun result;
	}
}

class Buy{
	public static void main(String[] a){
		Apple s = Stop.color("Apple.red");
		s.shopping();
	}
}

总结

可以发现上面实现的功能差不多,只不过写法不同,那这样也看不出为啥要使用反射。
仔细看Buy这个类中传参给Stop时,使用反射的多加了一个Apple类名,这里就有问题了,可以发现这个类是可以修改的,再加些方法,那我是不是可以调用任意类,去运行系统命令了。
有的人会说用反射效率差,对性能要求高,用于字段和方法接入时要远慢于直接代码,那
在这里插入图片描述
我就是一个安服仔!!!
在这里插入图片描述

洛柒尘
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化漏洞(Apache Commons Collections)
m0_61506558的博客
08-08 790
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过反射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列化,然后交给Java程序反序列化2、在进行反序列化时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
java反序列化漏洞(入门)
xiaoheizi的博客
07-02 774
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行反序列化代码,可以看到序列化的数据被还原了。
详解Java反序列化漏洞
最新发布
爱玩游戏的黑客的博客
06-03 654
如果需要将某个对象保存到磁盘上或者通过网络传输,那么这个类应该实现 Serializable 接口或者Externalizable接口之一。使用到JDK中关键类 :ObjectOutputStream (对象输出流) 和 ObjectInputStream (对象输入流)ObjectOutputStream 类中:通过使用 writeObject (Object object) 方法,将对象以二进制格式进行写入。ObjectInputStream类中:
Java反序列化漏洞从入门到深入(转载)
07-21 1001
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也可以了解一下,其中关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&pare...
Java反序列化漏洞入门
why811的博客
08-24 131
Java描述的是一个世界,程序运行开始时,这个世界也开始运作,但世界中的对象不是一成不变的,它的属性会随着程序的运行而改变。但很多情况下,我们需要保存某一刻某个对象的信息,来进行一些操作。比如利用反序列化将程序运行的对象状态以二进制形式储存与文件系统中,然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。可以有效地实现多平台之间的通信、对象持久化存储。一个类对象想要序列化成功,必须满足两个条件:该类必须实现 java.io.Serlalizable 接口。
JAVA反序列化漏洞
KHOST的博客
05-11 561
Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java 反序列化漏洞
qq_61553520的博客
05-24 4974
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Java反序列化漏洞
MRS_jianai的博客
02-19 714
Java反序列化源码复现
反序列化漏洞-JAVA
acepanhuan的博客
02-22 630
反序列化漏洞-JAVA
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3133
java反序列化参考
JAVA反序列化漏洞基础
04-25
JAVA反序列化漏洞是一种安全漏洞,攻击者可以利用该漏洞Java应用程序中执行恶意代码。这种漏洞的原因是在Java应用程序中,对象可以通过网络或磁盘上的文件进行序列化和反序列化,而攻击者可以通过构造恶意序列化数据来利用该漏洞。攻击者可以利用该漏洞执行任意代码、获取敏感信息或拒绝服务。为了保护Java应用程序免受这种漏洞的攻击,开发人员应该实现安全的序列化和反序列化机制,例如验证输入并限制反序列化的对象类型。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值