偷梁换柱-反序列化漏洞

于 2024-08-16 21:49:10 发布
阅读量790 收藏 8
点赞数 10
分类专栏: 网络安全 文章标签: java 网络 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/141269646
版权

序列化和反序列化漏洞是在计算机编程中出现的安全问题。

序列化是将对象或数据结构转换为可存储或传输的格式(如字节流、字符串等)的过程。

反序列化则是将序列化后的数据转换回原始对象或数据结构的过程。 序列化和反序列化漏洞的原理通常基于以下几点:

1. 不可信数据的输入:当程序接受来自不可信源(如网络、用户输入等)的序列化数据进行反序列化操作时,存在风险。攻击者可能精心构造恶意的序列化数据。

2. 代码逻辑缺陷:反序列化的实现代码可能存在逻辑漏洞,导致在处理异常或特殊构造的数据时出现错误,被攻击者利用。

3. 类的方法滥用:某些类的方法在反序列化过程中可能被意外调用,而这些方法可能执行了危险操作,如文件写入、系统命令执行等。

4. 不安全的库或框架:使用了存在安全缺陷的序列化和反序列化库或框架,未能及时更新补丁。

5. 缺乏输入验证和清理:在反序列化之前,没有对输入的数据进行充分的验证和清理,使得恶意数据能够进入反序列化流程。 这些漏洞可能导致诸如远程代码执行、权限提升、信息泄露等严重的安全问题。

常见的序列化和反序列化漏洞包括以下几种:

1. 反序列化对象注入:攻击者可以通过精心构造的恶意序列化数据,在反序列化过程中执行任意代码或执行非法操作。

2. 不安全的反序列化库使用:某些编程语言提供的反序列化库可能存在安全漏洞或默认配置不安全。

3. 数据格式漏洞:例如,某些序列化格式可能存在解析错误或异常处理不当的情况,被攻击者利用。

4. 权限提升:通过利用反序列化漏洞,获取更高的权限或绕过现有权限限制。

5. 敏感信息泄露:反序列化过程中可能意外泄露敏感信息。

以下是为您分别用 Vue 和 Spring Boot 举例说明上述 5 种常见的序列化和反序列化漏洞,并附上可能导致漏洞触发的用户输入示例:

反序列化对象注入(Vue):

假设在 Vue 应用中,从服务器接收序列化的数据并进行反序列化处理。

import axios from 'axios';

axios.get('/data').then(response => {
  const serializedData = response.data;
  // 假设这里使用了不安全的反序列化方法
  const deserializedObject = JSON.parse(serializedData);
  // 处理反序列化后的对象
});

用户输入:{"__proto__": {"isAdmin": true}} 可能导致反序列化对象注入漏洞,将用户设置为管理员。

反序列化对象注入(Spring Boot):

展开

用户输入:{"__proto__": {"isAdmin": true}} 可能导致反序列化对象注入漏洞,将用户设置为管理员。

不安全的反序列化库使用(Vue):

import someUnsafeDeserializationLibrary from 'unsafe-library';

someUnsafeDeserializationLibrary.deserialize(response.data);

用户输入:精心构造的恶意序列化数据,可能利用该库的漏洞执行任意代码。

不安全的反序列化库使用(Spring Boot):

import someUnsafeDeserializationLibrary;

@PostMapping("/unsafeProcess")
public void unsafeProcess(@RequestBody String data) {
    someUnsafeDeserializationLibrary.deserialize(data);
}

用户输入:精心构造的恶意序列化数据,可能利用该库的漏洞执行任意代码。

数据格式漏洞(Vue):

try {
  const deserializedData = JSON.parse(userInput);
} catch (e) {
  // 错误处理不完善
}

用户输入:{"key": "value", (格式错误)可能导致解析错误,被攻击者利用。

数据格式漏洞(Spring Boot):

@RequestMapping("/formatVulnerable")
public void formatVulnerable(@RequestBody String data) {
    try {
        ObjectMapper mapper = new ObjectMapper();
        mapper.readValue(data, Object.class);
    } catch (IOException e) {
        // 错误处理不完善
    }
}

用户输入:{"key": "value", (格式错误)可能导致解析错误,被攻击者利用

权限提升(Vue):

axios.post('/updatePermissions', { serializedPermissions: userProvidedSerializedData }).then(response => {
  // 处理权限更新
});

权限提升(Spring Boot):

@PostMapping("/updatePermissions")
public void updatePermissions(@RequestBody String serializedPermissions) {
    // 假设这里没有权限校验
    // 进行权限更新操作
}

敏感信息泄露(Vue):

try {
  const deserializedData = JSON.parse(response.data);
  console.log(deserializedData.sensitiveInfo); // 意外泄露敏感信息
} catch (e) {}

用户输入:包含敏感信息的序列化数据,可能导致敏感信息被意外打印到控制台。

敏感信息泄露(Spring Boot):

@RequestMapping("/sensitiveData")
public void sensitiveData(@RequestBody String serializedData) {
    ObjectMapper mapper = new ObjectMapper();
    try {
        Object deserializedObject = mapper.readValue(serializedData, Object.class);
        System.out.println(((Map<String, Object>) deserializedObject).get("sensitiveInfo")); // 意外泄露敏感信息
    } catch (IOException e) {
        e.printStackTrace();
    }
}

用户输入:包含敏感信息的序列化数据,可能导致敏感信息被意外打印到控制台。

请注意,以上示例仅用于说明可能的漏洞场景,实际应用中应遵循安全最佳实践来避免这些漏洞。

总结:

原理
序列化是将对象转换为可存储或传输的格式(如 JSON、XML 等)反序列化则是将这些格式的数据转换回对象。当反序列化过程中对输入数据的验证和处理不充分时,就可能出现漏洞。

用户输入
用户可能输入精心构造的恶意序列化数据,这些数据可能包含特殊的字段、对象结构或值,旨在利用反序列化库或程序的弱点。

例如:

  1. 包含恶意代码或命令的对象字段值。
  2. 利用对象原型链(__proto__)来修改对象的默认行为。
  3. 输入数据的格式错误,但被服务器错误处理,导致异常被利用。

服务器反应
服务器接收到用户输入的序列化数据后进行反序列化操作。如果存在漏洞:

  1. 可能会执行用户输入中的恶意代码,导致服务器被控制、数据被篡改、系统被破坏等。
  2. 可能会错误地修改对象的属性或行为,从而破坏应用程序的正常逻辑。
  3. 由于错误处理不当的格式问题,可能导致服务器崩溃、信息泄露或权限被意外提升。

总之,反序列化漏洞的关键在于服务器对用户输入的序列化数据缺乏足够的验证和安全处理,使得恶意输入能够干扰正常的反序列化过程,从而造成各种安全问题。

以下是一个反序列化漏洞的具体例子:

假设我们有一个基于 Spring Boot 的 Web 应用,其中有一个接口用于处理用户提交的序列化数据,并将其反序列化为一个 Java 对象。

import com.fasterxml.jackson.databind.ObjectMapper;

import java.io.IOException;

@RestController
public class DeserializationController {

    @PostMapping("/deserialize")
    public void deserializeData(@RequestBody String serializedData) {
        ObjectMapper objectMapper = new ObjectMapper();
        try {
            // 反序列化用户输入的数据
            User user = objectMapper.readValue(serializedData, User.class);
            // 处理反序列化后的用户对象
            System.out.println("User name: " + user.getName());
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

class User {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
}

在这个例子中,如果用户输入以下恶意的序列化数据:

{"name":"NormalUser","__proto__":{"runMaliciousCode":"System.out.println('I am malicious!');"}}

当服务器进行反序列化时,由于没有对输入数据进行充分的验证和处理,可能会执行 __proto__ 中指定的恶意代码,从而导致服务器输出 I am malicious! 这样的意外结果,这就触发了反序列化漏洞。

在实际应用中,应该对用户输入的序列化数据进行严格的验证和过滤,以避免此类漏洞的发生

在很多情况下,用户输入的序列化数据通常是 JSON 格式,也可能是 XML 格式、YAML 格式或者特定编程语言自定义的序列化格式。

不过,JSON 格式因其简洁性和广泛的支持,在 Web 应用和数据交换中是比较常见的用户输入序列化数据格式。

阿贾克斯的黎明
关注
专栏目录
Java反序列化注入内存马
02-09 2522
Java内存马总体有Servlet/Filter/Listern/Java-Agent四种,前三种思路都差不多,通过不同方式获取到ApplicationContext/servletContext/StandardContext等对象,然后往ApplicationContext/servletContext/StandardContext注入恶意的Servlet/Filter/Listern,这里通过注入 Filter实现内存马。 实现一 通过Thread.currentThread().getContex
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
常见的Web漏洞——反序列化漏洞
江左盟的博客
06-07 1万+
反序列化简介 序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。 反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。 反序列化漏洞首次出现在2015。虽然漏洞较新,但利用十分热门。主要原因是对用户可控制的数据进行反序列化时,攻击者能够操纵序列化的对象,从而将精心构造的恶意数据传递到应用程序代码中
C#反序列化漏洞
m0_47968686的博客
08-20 1596
CVE-2020-0688反序列化漏洞 漏洞成因 漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥伪造__VIEWSTATE参数从而触发反序列化漏洞。 环境、工具 WinServer2016、Exchange Server2016、win10、dnspy 分析 default.aspx被解析,继承Page类(Page
php反序列化注入,PHP反序列化由浅入深
weixin_33278498的博客
03-09 638
0x00 PHP序列化是什么两个函数serialize() //将一个对象转换成一个字符串unserialize() //将字符串还原成一个对象通过序列化反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。示例序列化class test{private $flag = "flag{233}";...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
weblogic--反序列化漏洞测试Test
10-19
3. **CVE漏洞编号**:WebLogic反序列化漏洞往往与特定的CVE(Common Vulnerabilities and Exposures)编号相关,比如CVE-2015-4852、CVE-2017-10271等。这些漏洞影响了WebLogic的不同版本,了解具体受影响的版本有助...
65-65.渗透测试-反序列化漏洞的出现.mp4
最新发布
05-10
65-65.渗透测试-反序列化漏洞的出现.mp4
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3200
java反序列化参考
【基础篇】第10篇:PHP代码审计笔记--反序列化漏洞1
08-03
本篇文章主要探讨的是PHP中的反序列化漏洞,特别是如何利用`serialize()`和`unserialize()`这两个核心函数进行安全实践。 首先,`serialize()`函数是PHP中用于将变量转换为字符串的工具,这个字符串包含了变量的...
php反序列化注入,php关于反序列化对象注入漏洞
weixin_42497828的博客
03-09 345
php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。本文主要和大家分享php关于反序列化对象注入漏洞详解,希望能帮助到大家。分析php基础serialize 把一个对象转成字符串形式, 可以用于保存unserialize 把serialize序列化后的字符串变成一个对象php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __...
序列化反序列化、以及反序列化注入问题要点
席同学的博客
07-04 1647
所有你想要的东西都标着价格 序列化的实体是个对象,结果也是个对象,并非是格式化文本,你在记事本里看到的购物信息保存记录,其实不是对象序列化的结果,而是对象输出的格式化文本,真正的序列化对象是看不懂的。 序列化的应用场景 在实际使用对象序列化时, 一种应用场景是将对象序列化到持久化存储(本地硬盘),我们此时不想做文件解析,也不想有人读懂这个持久化文件,当我们需要时,可以直接采用反序列化将保存的文件...
[Java安全]—Tomcat反序列化注入回显内存马
Sentiment的博客
12-03 1043
在之前学的tomcat filter、listener、servlet等内存马中,其实并不算真正意义上的内存马,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存马注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了: 并且这两个变量是静态的,因此省去了获取对象实例
php反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
ZL_1618的博客
06-08 587
原理:PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。防御:1)签名与认证。
反序列化(Unserialize)漏洞详解
qq_49422880的博客
09-28 1万+
序列化反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 996
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
序列化反序列化漏洞详解
m0_55854679的博客
03-13 9214
文章目录小知识漏洞原理序列化反序列化函数解析序列化:serialize()函数反序列化 :unserialize()函数魔术方法pikachu靶场练习1靶场练习2总结 小知识 weblogic反序列化漏洞漏洞挖掘较难。 与变量覆盖一样,并不是说具体的漏洞,而是与它的具体代码有关。 === 【比较 数值相等、类型相等】 == 【比较,数值相等】 = 【赋值 赋予数值】 => 【键值分离】 -> 【类里面的方法调用或者传参】 漏洞原理 序列化: 游戏的
xxl-job反序列化漏洞
09-12
关于xxl-job反序列化漏洞,这是一个比较严重的安全问题。该漏洞存在于xxl-job的任务调度中,攻击者可以通过构造恶意序列化数据来执行任意代码,从而导致系统被攻击或者遭受数据泄露。 为了解决这个问题,你可以采取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值