java基础--反序列化漏洞原理

原理

根据上篇文章可以了解到，一个类想要实现序列化和反序列化，必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。

Serializable 接口是一个标记接口，标记了这个类可以被序列化和反序列化，而 Externalizable 接口在 Serializable 接口基础上，又提供了 writeExternal 和 readExternal 方法，用来序列化和反序列化一些外部元素。

其中，如果被序列化的类重写了 writeObject 和 readObject 方法，Java 将会委托使用这两个方法来进行序列化和反序列化的操作。

导致反序列化漏洞的出现：在反序列化一个类时，如果其重写了 readObject 方法，程序将会调用它，如果这个方法中存在一些恶意的调用，则会对应用程序造成危害。

所以导致反序列化漏洞的出现就是重写readObject方法。

过程

在如下的代码中，在Person中重写了readObject方法，并在其中进行了命令执行，下面就探究一下这条命令是否能执行

Person.java

import java.io.IOException;
import java.io.Serializable;
public class Person implements Serializable {
    private String name;
    private int age;
    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }
    private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException {
        Runtime.getRuntime().exec("/System/Applications/Calculator.app/Contents/MacOS/Calculator");
    }

}

SerializableTest.java

import java.io.*;
public class SerializableTest {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Person person = new Person("zyer", 22);
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.txt"));
        oos.writeObject(person);
        oos.close();
        FileInputStream   fis = new FileInputStream("1.txt");
        ObjectInputStream ois = new ObjectInputStream(fis);
        ois.readObject();
        ois.close();
    }
}

---

我们直接在ois.readObject()处下断点，

然后直接跟进readObject （command/Ctrl + 左键），发现存在readObject的使用，于是在这再下断点并运行，使用单步步入的方式（F7）

进入到该函数，先是两个if判断，根据传入的type值，我们可以知道会进入try中，其中调用了 readObject0函数，继续跟进

 进入到readObject0，大致看一下代码，关键就是对byte tc进行判断，且该方法是以字节将文件读入，于是继续向下单步步入

 继续向下执行会到case TC_object

上边对TC_object有定义0x73，根据上篇文章可以知道，0x73是序列化的对象标志符

 然后进入readOrdinaryObject，可以看到

obj = desc.isInstantiable() ? desc.newInstance() : null;

在这条代码处就有newInstance方法，将其实例化 

 继续向下运行发现到这果然已经有了Person的obj对象了，正常的反序列化的话到这就应该结束了，但是因为我们的代码中有重新readObject的方法，所以我们还需要继续跟进

然后继续向下，存在desc.isExternalizable()的判断是不是Externalizable 接口，如果是，则调用 readExternalData 方法去执行反序列化类中的 readExternal，如果不是，则调用 readSerialData 方法去执行类中的 readObject 方法。

继续向下跟进，因为我们使用的是java.io.Serializable，所以进入到else语句的readserialData方法

然后进入readSerialData，在 readSerialData 方法中，首先通过类描述符获得了序列化对象的数据布局。通过布局的 hasReadObjectMethod 方法判断对象是否有重写 readObject 方法，如果有，则使用 invokeReadObject 方法调用对象中的 readObject 。

继续跟进invokeReadObject，发现使用了invoke方式将输入流作为参数，将其生成一个新对象，从而实现命令执行

---

参考su18师傅（Java 反序列化漏洞（一） - 前置知识 & URLDNS | 素十八） 

通过对反序列化漏洞形成的原理分析，我们可以有个基本思路，就是直接找readObject的方法，再在其内部寻找一些可以利用的漏洞函数，下一篇文章就针对HashMap进行利用。