浅谈基于Java的反序列化漏洞

最新推荐文章于 2024-07-12 15:53:09 发布
最新推荐文章于 2024-07-12 15:53:09 发布
阅读量1k 收藏 22
点赞数 22
文章标签: 安全 web安全 运维 java vscode
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/glass_york/article/details/134920211
版权

Java的序列化:

与php的序列化反序列化一样,Java的序列化从理解上来看大同小异,都将对象以一连串的字节保存在磁盘文件中的过程,而反序列化也一样是将保存在磁盘文件中的java字节码重新转换成java对象的过程。(默认大家对php序列化有基本概念,以及对“类”有一定的知识基础,如果没有,可以看看我的基于js的原型链污染)

如何实现:

使用JDK类库提供的序列化API:“java.io.ObjectOutputStream”和“java.io.ObjectInputStream”

java.io.ObjectOutputStream表示对象输出流,其中writeObject(Object obj)方法可以将给定参数的obj对象进行序列化,将转换的一连串的字节序列写到指定的目标输出流中。

java.io.ObjectInputStream该类表示对象输入流,该类下的readObject(Object obj)方法会从源输入流中读取字节序列,并将它反序列化为一个java对象并返回。

有点像php的魔术方法,但又不是一个东西。

这两个类负责对象的输入输出,但要实现序列化还需要一个Serializable接口,该接口用于标记某个类可以被序列化。如果不使用标记接口,序列化过程会报错。

Java类基础:

一下代码实现了一个Java的类应用。

// Address.java
import java.io.Serializable;
​
public class Address implements Serializable {
    private String street;
    private String city;
​
    public Address(String street, String city) {
        this.street = street;
        this.city = city;
    }
​
    public String getStreet() {
        return street;
    }
​
    public String getCity() {
        return city;
    }
}
// Person.java
import java.io.Serializable;
​
public class Person implements Serializable {
    private String name;
    private Address address;
​
    public Person(String name, Address address) {
        this.name = name;
        this.address = address;
    }
​
    public String getName() {
        return name;
    }
​
    public Address getAddress() {
        return address;
    }
}
//Main.java
import com.example.Person;
import com.example.Address;
​
public class Main {
    public static void main(String[] args) {
        Address address = new Address("Main Street", "City");
        Person person = new Person("John Doe", address);
​
        System.out.println("Name: " + person.getName());
        System.out.println("Address: " + person.getAddress().getStreet() + ", " + person.getAddress().getCity());
    }
}

首先我们定义了一个公共类:Address类,并单独放入一个Java文件中(在Java中,每个公共的自定义类都要单独写入一个Java文件,如果在一个文件中写入了多个公共类,那么大概率会导致代码执行出错)。import java.io.Serializable用于后续序列化(当前没用),public class Address implements Serializable 定义了Address类并实现了Serializable接口(为序列化铺垫),在类中定义了两个私有字符串属性street和city, public Address(String street, String city)对Address类的实现, public String getStreet() {return street;}定义方法getStreet()获取对象的属性值,getCity()同理。

定义的Person类同理,不同的是Person类的属性中引用了Address类。(在接下来的序列化中,当一个类A引用了其他类B的对象时,若A的对象被序列化,则B在A内的对象也会被序列化,所以说序列化是递归进行的)

Main:接收字符串作为参数,创建对象address和person并输出。结果如下:

Name: John Doe
Address: Main Street, City

以上就是对Java的类进行一个简单的应用。

如何序列化:

import java.io.*;
//import java.io.FileOutputStream;
//import java.io.ObjectOutputStream;
//import java.io.IOException;
//import java.io.Serializable;
​
​
public class SerializationExample {
    public static void main(String[] args) {
        Address address = new Address("123 Main St", "New York");
        Person person = new Person("Alice", address);
​
        try {
            FileOutputStream fileOut = new FileOutputStream("person.ser");
            ObjectOutputStream out = new ObjectOutputStream(fileOut);
            out.writeObject(person);
            out.close();
            fileOut.close();
            System.out.println("Serialized data is saved in person.ser");
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

因为需要用到//import java.io.FileOutputStream;//import java.io.ObjectOutputStream;//import java.io.IOException;//import java.io.Serializable;所以直接引用所有的io类/接口即import java.io.*;之后定义了一个公共类SerializationExample,创建新的Address和Person对象并初始化传参(为了能调用没有被实例化的main函数,需要定义为静态方法)。接下来的语句涉及到FileOutputStream和ObjectOutputStream类,他们可能抛出I/O异常的风险,所以要使用try/catch进行异常情况的处理。main中创建了一个person.ser文件,并通过writeObject把序列化的结果输出在该文件中。结果:

打开查看:

发现是乱码,很正常,在 Java 中,对象序列化后的结果是一种二进制数据,使用文本文档打开会看到一些乱码内容。

接下来是反序列化:

首先要对Person类和Address类的代码进行改造:

// Address.java
import java.io.Serializable;
​
public class Address implements Serializable {
    private String street;
    private String city;
​
    public Address(String street, String city) {
        this.street = street;
        this.city = city;
    }
​
    public String getStreet() {
        return street;
    }
​
    public String getCity() {
        return city;
    }
//以下新加入的代码
    @Override
    public String toString() {
        return "Address{" +
                "street='" + street + '\'' +
                ", city='" + city + '\'' +
                '}';
    }
}
// Person.java
import java.io.Serializable;
​
public class Person implements Serializable {
    private String name;
    private Address address;
​
    public Person(String name, Address address) {
        this.name = name;
        this.address = address;
    }
​
    public String getName() {
        return name;
    }
​
    public Address getAddress() {
        return address;
    }
//以下是新加入的代码
    @Override
    public String toString() {
        return "Person{name='" + name + "', address='" + address + "'}";
    }
}

@Override是重写标识,这里需要对toString()方法进行重写,写成固定格式的字符串进行输出,如果不进行重写,在调用toString方法时会默认调用 Object 类中的 toString() 方法,并返回包含类名和哈希码的默认字符串表示。接下来写入反序列化代码:

import java.io.*;
​
public class DeserializationExample {
    public static void main(String[] args) {
        try {
            FileInputStream fileIn = new FileInputStream("person.ser");
            ObjectInputStream in = new ObjectInputStream(fileIn);
            Person person = (Person) in.readObject();
            in.close();
            fileIn.close();
            System.out.println("Deserialized data:");
            System.out.println(person);
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

改代码调用了person.ser文件,将其序列化的 结果进行反序列化然后输出到控制台:

如果在定义类的代码中不对toString类进行重写,那么输出应该是这样的:

默认输出了类名和后面的哈希码。

其他注意:

已经初步了解了Java的反序列化的原理,接下来介绍一些在Java序列化中的一些注意事项:

transient:在 Java 中,transient 是一个修饰符,用于标记类的成员变量,表示不希望被序列化。当一个对象被序列化时,会将其状态保存为字节流,transient 可以用于排除某些成员变量,使其在序列化过程中被忽略。比如我们基于Address类,把city改为transient

    private transient String city;

再次进行序列化,然后反序列化:

city没有被序列化,因此Address类的city属性是空的。

Externalizable接口:除了使用Serializable接口外,还可以使用Externalizable接口,Externalizable接口相比于Serializable接口更加灵活。Serializable接口使用默认序列化方式,可以序列化所有非transient(即非瞬态)字段,无需编写任何额外的代码。而若使用Externalizable接口使用自定义序列化方式,需要手动控制序列化和反序列化过程。就好比要保存一本书,Serializable接口是直接将整本书存入书架,而Externalizable接口是可以手动地将其中一些需要地部分保存起来放入暑假。使用原来的例子改为Externalizable方式:

//Address
import java.io.*;
​
public class Address implements Externalizable {
    private String street;
    private String city;
​
    public Address() {
    }
​
    public Address(String street, String city) {
        this.street = street;
        this.city = city;
    }
​
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeObject(street);
        out.writeObject(city);
    }
​
    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        street = (String) in.readObject();
        city = (String) in.readObject();
    }
​
    public String getStreet() {
        return street;
    }
​
    public String getCity() {
        return city;
    }
​
    @Override
    public String toString() {
        return "Address{street='" + street + "', city='" + city + "'}";
    }
}
//Person
import java.io.*;
​
public class Person implements Externalizable {
    private String name;
    private Address address;
​
    public Person() {
    }
​
    public Person(String name, Address address) {
        this.name = name;
        this.address = address;
    }
​
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeObject(name);
        out.writeObject(address);
    }
​
    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        name = (String) in.readObject();
        address = (Address) in.readObject();
    }
​
    public String getName() {
        return name;
    }
​
    public Address getAddress() {
        return address;
    }
​
    @Override
    public String toString() {
        return "Person{name='" + name + "', address='" + address + "'}";
    }
}

和使用Serializable接口相比,主要有以下不同:

1.增加了额外的无参数构造方法,如

    public Person() {
    }

这是因为使用Externalizable接口时需要用到一个无参数的构造,与Serializable接口相比,Externalizable接口更灵活,可以自己选择需要被序列化的对象,因此在使用前需要一个空白构造。

2.增加了

    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeObject(name);
        out.writeObject(address);
    }

通过传递一个实现了 ObjectOutput 接口的对象(out),writeExternal() 方法可以利用这个对象的方法来完成对象的序列化过程。这个过程可能会引发I/O异常,所以要进行异常处理。方法内可以手动选择被序列化的对象。

3.增加了

    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        name = (String) in.readObject();
        address = (Address) in.readObject();
    }

通过传递一个实现了 ObjectOutput 接口的对象(out),writeExternal() 方法可以利用这个对象的方法来完成对象的反序列化过程。这个过程可能会引发I/O异常或者类加载可能出现的异常,所以要进行异常处理。方法内可手动选择被反序列化的对象。

序列化类,反序列化类的代码和之前一样,没有区别。

注意:若使用Externalizable接口,可以手动选择对象是否被序列化/反序列化,不需要像Serializable接口一样给不被序列化/反序列化的对象的类型加上transient,就算加上了也没用:

public class Address implements Externalizable {
    private String street;
    private transient String city;

输出:

漏洞产生:

示例:

import java.io.*;
 
class test{
    public static void main(String[] args) throws Exception{
        MyObject myObj = new MyObject();
        FileOutputStream out1 = new FileOutputStream("password.ser");
        ObjectOutputStream out2 = new ObjectOutputStream(out1);
        out2.writeObject(myObj);
        out2.close();
        FileInputStream in1 = new FileInputStream("password.ser");
        ObjectInputStream in2 = new ObjectInputStream(in1);
        in2.readObject();
        in2.close();
    }
}
class MyObject implements Serializable{
    public String flag;
    private void readObject(ObjectInputStream flag) throws IOException, ClassNotFoundException{
        flag.readObject();
        System.out.println("打开了D盘的flag");
        Runtime.getRuntime().exec("explorer.exe D:\\flag.txt");
    }
}

由于 MyObject 类实现了 Serializable 接口并定义了 private void readObject(ObjectInputStream flag) 方法,因此在新对象反序列化过程中,Java 虚拟机会自动调用 readObject(ObjectInputStream flag) 方法,并将反序列化流作为参数传入。因此当MyObject类作为一个恶意类被写入到一个正常的序列化代码中时,就会引发命令执行等危险后果,上述代码的运行结果:

漏洞判断:

用16进制打开序列化结果:

都有共同点,都以AC ED开头,版本号一般时00 05。可以作为判断Java序列化的依据。

glass_york
关注
  • 22
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
136-Java原生序列漏洞.pdf
03-15
136-Java原生序列漏洞
java序列工具
11-21
Java序列是一种将已序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方式。在Java应用程序中,序列用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Java序列
buffedon的博客
09-05 4129
Java序列Java序列概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列序列代码参考文章 Java序列概念 在说序列之前,先说说序列 序列就是将对象转为字节流,利于存储和被引用 序列序列恰恰相,是将字节流转为对象 序列的格式:json序列,xml序列,二进制序列,SOAP序列 序列调用的函数 序列java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable 和 Externaliz
java序列 cve_通过JBoss序列(CVE-2017-12149)Java序列漏洞
weixin_28988985的博客
02-25 156
前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的序列,再序列漏洞Java序列,简而言之就是把java对象转为字节序列的过程。而序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致攻击者恶意构造的代码的实现。举个简单的例子,jboss的序列漏洞出现在jboss\server\all\deploy\ht...
jboss java序列命令执行漏洞_通过JBoss序列(CVE-2017-12149)Java序列漏洞...
weixin_28759829的博客
02-17 166
前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的序列,再序列漏洞Java序列,简而言之就是把java对象转为字节序列的过程。而序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致攻击者恶意构造的代码的实现。举个简单的例子,jboss的序列漏洞出现在jboss\server\all\deploy\htt...
java代码审计之Java序列漏洞修复方案
liguangyao213的博客
02-19 4089
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久存储。 Java程序使用ObjectInputStream对象的readObject方法将序列数据转换为java对象。但当输入的序列的数据可被用户控制,那么攻击者即
【代码扫描修复】不安全的序列攻击(高危)_java序列漏洞修复
2401_84302369的博客
05-02 686
将内存对象转为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转为对象实例。数据格式序列后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列\*/try {/\*\*\* 序列
java序列漏洞 poc_通过JBoss序列(CVE-2017-12149)Java序列漏洞
weixin_29496661的博客
02-13 396
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的序列,再序列漏洞Java序列,简而言之就是把java对象转为字节序列的过程。而序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致攻击者恶意构...
Python Pickle序列
YJ_12340的博客
11-11 768
序列说白了就是将对象转换成字节流,便于保存在内存、文件或者是数据库中;序列则是序列的逆过程,将字节流还原成对象。
21 - vulhub - fastjson 序列导致任意命令执行漏洞
易编橙 · 终身成长社群,相遇已是上上签!
11-16 971
fastjson 阿里巴巴开发的一个JSON解析库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。 Fastjson 可以操作任何 Java 对象,即使是一些预先存在的没有源码的对象。
java序列工具ysoserial
09-11 2233
前言   关于java序列漏洞的原理分析,基本都是在分析使用Apache Commons Collections这个库,造成的序列问题。然而,在下载老外的ysoserial工具并仔细看看后,我发现了许多值得学习的知识。 至少能学到如下内容:   不同序列payload玩法灵活运用了射机制和动态代理机制构造POC   java序列不仅是有Apache Comm...
Java序列安全漏洞防控
04-19
本文描述了著名的java序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
Java序列序列原理及漏洞解决方案
08-18
Java序列序列原理及漏洞解决方案 Java序列序列原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了序列...
java序列利用程序UI版Beta1.1.rar
07-20
8. **Java序列工具**:如"java序列利用程序UI版Beta1.1"这样的工具,可能是为了帮助安全研究人员测试和理解序列漏洞的工作原理,通过图形用户界面(GUI)提供了一种更直观的方式来实验和分析Java序列...
移动互联安全扩展要求测评项
hakksjss的博客
07-10 1146
应为无线接入设备的安装选择合理位置,避免过度覆盖和电磁干扰。无线接入设备的安装位置选择不当,易被攻击者利用,特别是攻击者会通过无线信号过度覆盖的弱点进行无线渗透攻击,因此要选择合理的位置安装无线接入设备。
车载视频监控管理方案:无人驾驶出租车安全出行的保障
最新发布
TSINGSEE青犀视频官方技术博客
07-12 729
为了确保数据的安全性和可靠性,本方案采用云存储技术,将车辆视频数据和相关信息存储在云端。
中小学校园EasyCVR视频综合监管方案:构建安全、智能的校园环境
TSINGSEE青犀视频官方技术博客
07-10 1190
针对校园食堂后厨、仓库、配菜、清洗等监控区域的环境卫生与安全等进行全面的监管,及时发现违规异常情况,并能向监管人员及时发送告警信息,保障在校师生的食品与饮食安全。
[图解]SysML和EA建模住宅安全系统-14-黑盒系统规约
rolt的专栏
07-10 819
系统的外部可观察行为和物理特征

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值