Java 代码审计---反序列化

最新推荐文章于 2024-06-21 17:14:47 发布
最新推荐文章于 2024-06-21 17:14:47 发布
阅读量997 收藏 26
点赞数 26
分类专栏: 代码审计 文章标签: java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45317844/article/details/139371663
版权 
Java 序列化是一种将对象转换为字节流的过程,以便可以将对象保存到磁盘上,将其传输到网络上,或者将其存储在内存中,以后再进行反序列化,将字节流重新转换为对象。
序列化在 Java 中是通过 java.io.Serializable 接口来实现的,该接口没有任何方法,只是一个标记接口,用于标识类可以被序列化。
当你序列化对象时,你把它包装成一个特殊文件,可以保存、传输或存储。反序列化则是打开这个文件,读取序列化的数据,然后将其还原为对象,以便在程序中使用。
序列化是一种用于保存、传输和还原对象的方法,它使得对象可以在不同的计算机之间移动和共享,这对于分布式系统、数据存储和跨平台通信非常有用。

序列化

序列化主要是将一个java对象转换为二进制字节流的过程,在学习反序列化之前,首先来学习一下序列化是什么,怎么进行,知其然,知其所以然。
序列化首先需要注意一下几点

  • 实现 Serializable 接口:序列化的对象必须要实现Serializable接口,这个接口是一个标记接口,没有任何方法,只是用于标识该类的对象可以被序列化。
  • 对象的成员变量可序列化: 如果一个类中的成员变量是基本数据类型或其他可序列化的对象,则该类的对象也是可序列化的。如果成员变量是不可序列化的对象,可以使用 transient 关键字进行标记,表示在序列化过程中不将该成员变量序列化,并且static变量正常情况下是不会被序列化的。
  • 版本控制: 在进行对象序列化时,需要注意版本控制,确保对象的类结构发生变化时不会导致序列化和反序列化的问题。可以通过 serialVersionUID 字段进行手动版本控制。
  • 对象的引用关系: 如果对象间存在引用关系,即一个对象引用了另一个对象,那么在序列化和反序列化时,需要确保所有相关的对象都可以正确地序列化和反序列化。
    ObjectOutputStream中的writeObject方法是java进行序列化的关键方法,下面是使用的具体方法
//创建一个FileOutputStream,其中写入ObjectOutputStream中的对象
FileOutputStream fileStream = new FileOutputStream(String file);

//创建ObjectOutputStream
ObjectOutputStream objStream = new ObjectOutputStream(fileStream);

//调用writeObject方法,该方法传入的是需要序列化的对象,并且该方法会将该对象进行序列化,写入到上面指定的输出流中:fileStream
objStream.writeObject(Object);

下面是序列化的示例
首先创建一个类,并且该类继承Serializable接口

package com.pwjcw.entity;  
  
import java.io.Serializable;  
  
public class Persion implements Serializable {  
    private String name;  
    private int age;  
  
    public Persion() {  
    }  
  
    @Override  
    public String toString() {  
        return "Persion{" +  
                "name='" + name + '\'' +  
                ", age=" + age +  
                '}';  
    }  
  
    public Persion(String name, int age) {  
        this.name = name;  
        this.age = age;  
    }  
  
    public String getName() {  
        return name;  
    }  
  
    public void setName(String name) {  
        this.name = name;  
    }  
  
    public int getAge() {  
        return age;  
    }  
  
    public void setAge(int age) {  
        this.age = age;  
    }  
}

实现对该类的序列化

@Test  
public void TestSerialize() throws IOException {  
    Persion persion = new Persion("pwjcw", 1);  
    // 创建文件输出流,用于将对象序列化后的字节流写入文件  
    FileOutputStream f = new FileOutputStream("persion.ser");  
    // 创建对象输出流,用于将对象序列化后的数据写入文件  
    ObjectOutputStream outputStream = new ObjectOutputStream(f);  
    // 将 Person 对象进行序列化并写入文件  
    outputStream.writeObject(persion);  
    // 关闭对象输出流  
    outputStream.close();  
    // 关闭文件输出流  
    f.close();  
}

序列化后的数据

将一个对象进行序列化其实是将该对象的一些属性进行序列化,并不是对该对象的类,以及相关的方法也进行序列化为二进制数据。下面是persion.ser文件的二进制视图

在这里插入图片描述

serialVersionUID

在Java中,serialVersionUID是一个特殊的静态变量,用于标识序列化类的版本。当一个类被序列化时,它的serialVersionUID会被序列化到流中,以确保序列化和反序列化过程中类的版本一致性,如果反序列化时的serialVersionUID版本与本地对应的serialVersionUID版本不一致,则会导致反序列化失败。

当类的结构发生变化时(例如添加新的字段或方法),通过显式地指定serialVersionUID,可以确保旧版本的序列化数据可以与新版本的类兼容。如果不指定serialVersionUID,Java会根据类的结构自动生成一个,但是当类的结构发生变化时,自动生成的serialVersionUID也会改变,可能导致旧版本的序列化数据无法被正确反序列化

关于悖论的解释

上面也已经说到,serialVersionUID是一个静态变量,而静态变量正常情况下又不参与序列化,不过serialVersionUID是一个例外,这是java设计的一个特殊情况。

反序列化

反序列化和序列化相反,主要是从二进制字节流转换为java对象,可以通过ObjectInputStream类的readObject方法将传入的二进制流进行序列化到对象
下面是具体的使用示例

@Test  
public void TestUnSerialize() throws IOException, ClassNotFoundException {  
    //从文件中读取二进制字节流  
    FileInputStream fileInputStream=new FileInputStream("persion.ser");  
    //创建ObjectInputStream对象,并且传入FileInputStream读取到的二进制字节流  
    ObjectInputStream objectInputStream=new ObjectInputStream(fileInputStream);  
    //调用readObject方法,并且转换为Persion对象  
    Persion persion= (Persion) objectInputStream.readObject();  
    //打印反序列化得到的persion对象  
    System.out.println(persion);  
}

反序列化导致rce的原因

在反序列化中,如果反序列化的目标类自定义了readObject方法,那么在反序列化时,将会调用目标类自定义的readObject方法,这是出现反序列化漏洞的根本原因。下面是一个演示示例。
目标类

package com.pwjcw.entity;  
  
import java.io.IOException;  
import java.io.ObjectInputStream;  
import java.io.Serializable;  
  
public class Persion implements Serializable {  
    private String name;  
    private int age;  
  
    public Persion() {  
    }  
  
    @Override  
    public String toString() {  
        return "Persion{" +  
                "name='" + name + '\'' +  
                ", age=" + age +  
                '}';  
    }  
  
    public Persion(String name, int age) {  
        this.name = name;  
        this.age = age;  
    }  
  
    public String getName() {  
        return name;  
    }  
  
    public void setName(String name) {  
        this.name = name;  
    }  
  
    public int getAge() {  
        return age;  
    }  
  
    public void setAge(int age) {  
        this.age = age;  
    }  
    private void readObject(java.io.ObjectInputStream objectInputStream) throws IOException, ClassNotFoundException {  
        objectInputStream.defaultReadObject();  
        Runtime.getRuntime().exec("calc.exe");  
    }  
}

那么此时进行反序列化,就会调用Persion类的readObject方法,进而调用Runtime语句。
当前并不是所有的方法都会自定义readObject方法,不过后面的HashMap类自定义了,并且通过该类造成了URLDNS链的反序列化,后面文章会进行分析。

参考文档:

https://www.runoob.com/java/java-serialization.html
Java ObjectOutputStream 类 - Java教程 - 菜鸟教程 (cainiaojc.com)

pwjcw
关注
  • 26
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java代码审计--反序列化
goddemon
09-15 915
1.挖掘思路 反序列化利用链通常分为三部分,触发点、中继点、执行点 2.序列化和反序列化基础知识点 序列化反序列化相关类与函数 Java.io.ObjectOutputStream //序列化实现方法-->从这个目标流写的和输出的都是序列化 java.io.ObjectInputStream //反序列化实现方法-->从这个输出流写的和输出的都是反序列化 //相关步骤 对象序列化步骤 1) 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流; 2) 通过对象输出流的wri
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 831
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
补充:Java代码审计 - 反序列化漏洞
feekee的自留研习地
12-01 512
Java代码审计 - 反序列化漏洞 知识点记录
Java代码审计安全篇-反序列化漏洞
m0_63138919的博客
03-15 1190
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
Java代码审计--checklist
重新启程
10-14 820
通常我喜欢把代码审计的方向分为业务层安全问题、代码实现和服务架构安全问题,。 1. 业务层安全常见问题 业务层的安全问题集中在业务逻辑和越权问题上,我们在代码审计的过程中尽可能的去理解系统的业务流程以便于发现隐藏在业务中的安全问题。 1.1 业务层中常见的安全问题Checklist 用户登陆、用户注册、找回密码等功能中密码信息未采用加密算法。 用户登陆、用户注册、...
Java 代码审计——shiro 1.2.4反序列化(CVE-2016-4437)
王嘟嘟的博客
12-17 2197
0x00 前言 shiro124是一个比较老的反序列化漏洞了,一直都没有对这个漏洞进行深刻的了解,直到学习了CC链之后,回过头来在看,才知道所有一切的真相~ 0x01 shiro124 简单的说shiro是一个认证框架,用来做认证的。 124的反序列化也是非常简单: shiro利用的首先是rememberMe的反序列化过程,过程分为三步: base64解码 解密 反序列化 同样序列化也分为三步: 反序列化 加密 base64解密 其中最重要的就是加密了,如果没有加密的秘钥就没有办法进行伪造,这里感谢
Java代码审计-CC1 Chains
Love&Share
01-14 1378
有关环境配置和IDEA调试可以看上一篇文章,电梯 分析 Java集合框架 Java集合框架是对多个数据进行存储操作的结构,其主要分为Collection和Map两种体系: Collection接口:单例数据,定义了存取一组对象的方法的集合 Map接口:双列数据,保存具有映射关系“Key-value”的集合 Apache Commons Collections:一个扩展了Java标准库里集合框架的第三方基础库。它包含有很多 jar 工具包,提供了很多强有力的数据结构类型并且实现了各种集合工具类 先来看通过.
java代码审计-java基础-3
Shanfenglan's blog
03-18 5307
1. 通过注入读取spring datasource配置信息 <%@ page contentType="text/html;charset=UTF-8" language="java" %> <%@ page import="org.springframework.context.ApplicationContext" %> <%@ page import="org.springframework.web.context.support.WebApplicationConte
代码审计-Java项目审计-SQL注入漏洞
xiaoheizi的博客
08-16 259
eval assert preg_replace call_user_func call_user_func_array等。extract() parse_str() import_request_variables() $$ 等。$_FILES,type="file",上传,move_uploaded_file()等。$_GET,$_POST,$_REQUEST,$_FILES,$_SERVER等。审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md 第一的 4年前 java代码审计-表达式...
130-剖析xmlDecoder反序列化.pdf
09-20
在本文中,作者深入分析了Java的xmlDecoder反序列化机制,以帮助读者理解这个过程,并提供了一些代码审计的技巧。 首先,作者强调了选择xmlDecoder作为研究对象的原因,因为它曾经导致Weblogic服务器遭受攻击。在...
Java代码审计思维导图
03-23
第一类:常见web漏洞,涵盖了SQL注入,XSS注入,链接注入,文件上传,反序列化,SSRF的漏洞成因,漏洞审计以及漏洞修复 第二类:业务逻辑漏洞,涵盖了逻辑漏洞,短信漏洞,验证码漏洞的漏洞成因,漏洞审计以及漏洞...
061-Apache Shiro 反序列化之殇.pdf
09-20
同时,对Remember Me功能进行安全审计,确保所有加密和反序列化的操作都遵循最佳安全实践,例如使用不可预测的IV,以及使用强加密算法和密钥。此外,启用Web应用程序防火墙(WAF)并定期进行渗透测试也是提高系统...
Java安全漫谈与java代码审计学习知识库
04-06
java安全、反射、rmi、反序列化学习、字节码、Java代码审计学习
数据结构与算法-差分数组及应用
qq_36115196的博客
06-20 904
差分数组: 其实差分数组是创建一个一个辅助数组,用来表示给定数组的变化,一般用来对数组进行区间修改的操作。
日常工作记录目录
与海
06-21 271
EasyExcel实现二维码下载与展示
Homebrew使用
最新发布
gghh2015的博客
06-21 354
具体参考:https://blog.csdn.net/m0_67402970/article/details/126434901。简介:https://www.jianshu.com/p/f4c9cf0733ea。2、查看安装路径:brew list maven。官网:https://brew.sh/
Java面试八股之简述JVM内存结构
u012151345的博客
06-20 966
Java 8之前,永久代(Permanent Generation)是方法区的实现,之后被元空间(Metaspace)取代。总结来说,JVM内存结构设计精巧,通过区分线程私有和共享区域,以及细致划分各个区域的功能,确保了Java程序的高效、安全运行。每个线程都有自己的栈,用于存储方法调用时的信息,包括局部变量表、操作数栈、动态链接、方法出口等。方法区的一部分,存放编译期生成的各种字面量和符号引用,如字符串字面量、类名、方法名等。JVM中最大的一块内存区域,用于存储几乎所有的对象实例和数组。
怎么判断反序列化漏洞攻击成功
05-11
4. 检测工具:可以使用一些专门的漏洞扫描工具,例如 ysoserial、Java-Deserialization-Scanner 等,来检测是否存在反序列化漏洞。 需要注意的是,一旦发现反序列化漏洞攻击,应该及时修复漏洞,并加强应用程序的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值