(38)【JAVA反序列化漏洞】简介、原理、工具、环境、靶场、思路

最新推荐文章于 2024-04-18 09:40:18 发布
最新推荐文章于 2024-04-18 09:40:18 发布
阅读量3.5k 收藏 23
点赞数 5
分类专栏: 0X01【web安全】从0到1 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/124233881
版权

目录

一、简介:

二、原理:

2.1、Java对象:

2.2、Java 序列化:

2.3、Java 反序列化:

三、函数:

四、工具:

4.1、ysoserial 0.0.4版

4.2、 payload生成器

4.2.1、介绍: 

4.3、提示:

五、准备:

5.1、WebGoat

5.2、 环境变量的配置:

5.2.1、方法一:手工配置

5.2.2、方法二:工具配置

5.2.3、JDK的配置:

5.2.4、JRE的生成:

5.3、错误+安装

六、WebGoat

6.1、分析:

6.2、插件

 6.2.1、Java Deserialization Scanner

6.3、漏洞利用:

6.3.1、大体思路:

6.3.2、具体思路

        

(大家都在学习) 

一、简介:

序列化也就是将数据拆成一小块小块保存到文件中(每块设置编号),反序列化就是重现组合起来

(1)序列化就是将数据转化成一种可逆的字符串(利于存储或者传输),字符串还原原来结构的过程叫做反序列化

(2)序列化后,方便保存和传输(保留成员变量,不保留函数方法)

(3)数据(对象)--------序列化---------->字符串-----------反序列化-------->数据(对象)

二、原理:

2.1、Java对象:

①多种方式来创建对象,没被回收都可复用此对象(存在于JVM中的堆heap内存中),当JVM处于运行状态,对象就存在;反之,对象就不存在。

②在真实的环境中,通过序列化,实现在JVM中的对象和字节数组流之间转换,实现将这些对象持久化保存下来,在需要的时候再使用。

2.2、Java 序列化:

完整性+可传递性

①将对象转换为字符串等字节数组流过程(保存属性状态,不保存对象中的方法),从而实现对象持久化,以便传输(可移植性)或保存在本地文件中,将序列化对象写入文件之后,可从文件中读取,并且进行反序列化。

2.3、Java 反序列化:

将一个对象的字节序列(字符串)中保存的对象状态及描述信息,通过反序列化,恢复成 Java 对象的过程(重建)

三、函数:

序列化:ObjectOutputStream类–> writeObject()(写入)

反序列化:ObjectInputStream类 -->readObject() (读取)

Serializable(接口) :(序列化与反序列化的类必须使用)一个标志性接口,标识在 JVM 中进行序列化,为该类自动生成一个序列化版本号。

serialVersionUID(类属性):序列化版本号(默认提供),给 JVM 区别同名类。

transient(关键字):不希望特定属性参与序列化,使用这个关键字标注该属性。

 

四、工具:

4.1、ysoserial 0.0.4版

(现在最新的是0.0.6)

链接:https://pan.baidu.com/s/18q2ruwCFGI1vMvl9j7lT3w?pwd=hj12 
提取码:hj12

4.2、 payload生成器

angelwhu/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)icon-default.png?t=M3C8https://github.com/angelwhu/ysoserial

frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)icon-default.png?t=M3C8https://github.com/frohoff/ysoserial

4.2.1、介绍: 

ysoserial payload是创建了一个URLStreamHandler的子类:SilentURLStreamHandler

SilentURLStreamHandler重写了getHostAddress(URL u),屏蔽了返回值,因此在生成payload的时候、也就是序列化的时候,不会触发dns查询。

4.3、提示:

 上上述文件需要经过Maven编译,或者Gradle编译(Gradle更简单,以后应该会超过Maven)成.jar文件,后才能使用

【Maven使用】IDEA使用Maven进行文件打包+命令含义+错误分析icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/124322125?spm=1001.2014.3001.5501

【Gradle】问题解析+下载安装+环境配置+验证安装icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/124312186?spm=1001.2014.3001.5502

IntelliJ IDEA中也包含Maven、Gradle

(里面也可以配置自己的maven、Gradle)

官网:

IntelliJ IDEA:JetBrains 功能强大、符合人体工程学的 Java IDEicon-default.png?t=M3C8https://www.jetbrains.com/zh-cn/idea/

激活: 

网上有很多激活脚本(容易找到)

五、准备:

5.1、WebGoat

 链接:https://github.com/WebGoat/WebGoat/releases

5.2、 环境变量的配置:

5.2.1、方法一:手工配置

3分钟复制粘贴配置java环境变量,验证配置是否成功,java文件运行方法icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/123482726?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522165028109016780261979271%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=165028109016780261979271&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-4-123482726.nonecase&utm_term=jdk&spm=1018.2226.3001.4450

5.2.2、方法二:工具配置

【jdk快速设置/切换工具】一键设置/切换、附带插件链接、使用教程icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/124252949?spm=1001.2014.3001.5501

5.2.3、JDK的配置:

【jdk快速设置/切换工具】一键设置/切换、附带插件链接、使用教程icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/124252949?spm=1001.2014.3001.5501

5.2.4、JRE的生成:

【高版本JRE生成】JRE版本不够,生成JRE失败,高版本JDK生成JRE过程icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/124262183?spm=1001.2014.3001.5501

5.3、错误+安装

全面的错误解决

【WebGoat安装错误合集】WebGoat8.2.2每一步出现的错误整理,最后附带正确的安装教程icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/124297362?spm=1001.2014.3001.5501

 

六、WebGoat

6.1、分析:

下面的输入框存在反序列化的漏洞,我们要生成含有可执行代码的序列化字符串,在输入框提交,进行反序列化,从而执行我们构造的代码,让页面延迟5s就完成题目了

以 rO0AB 开头, JAVA 序列化 base64 加密的。

以 aced 开头, java 序列化的 16 进制。

解码看看

无任何有用信息

6.2、插件

 6.2.1、Java Deserialization Scanner

是一个Burp套件插件,用于检测和利用Java Deserialization(java反序列化)漏洞

【JAVA反序列扫描工具】简介、下载、安装、使用icon-default.png?t=M3C8https://blog.csdn.net/qq_53079406/article/details/124336323?spm=1001.2014.3001.5501这个工具的扫描,也得依靠我们对他进行配置文件ysoserial.jar

6.3、漏洞利用:

(由于僵持了好多天,我要去补充亿多点知识点去了,先把思路放这里)

6.3.1、大体思路:

构造恶意语句----->序列化------>进行编码------>最终的payload------>提交进去执行

6.3.2、具体思路

(前提:知道源码)

第一步:

提交,抓包,找到数据包中包含的目录(可能是发往反序列化函数的地方)

第二步:

在源码里搜索,找到反序列化的位置

第三步:

分析解码函数(即它的编码方法)及其接口

第四步:

查看ysoserial支持的插件,对应查找WebGoat是否安装了对应的.jar包(名含有core,与ysoserial支持的版本一致),并复制到ysoserial目录下

第五步:

根据这个.jar包,利用ysoserial生成反序列化漏洞的payload,执行calc.exe,将payload保存在token.bin文件中

第六步:

采用python脚本对payload进行base64编码(根据所使用的序列化编码方法)

第七步:

在反序列化框提交构造的序列化字符串(触发反序列化)

(前提:不知道源码)

可以就要通过其他方法去分析到编码方式、含有的.jar包

接口测试、回显数据分析……

黑色地带(崛起)
关注
  • 5
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ysoserial-0.0.2
12-25
weblogic反序列化漏洞 测试用的 有需要的同学拿去用
Java反序列化终极测试工具
09-17
Java反序列化终极测试工具
探索YSOserial:Java反序列化漏洞利用工具
最新发布
gitblog_00024的博客
04-18 286
探索YSOserial:Java反序列化漏洞利用工具 项目地址:https://gitcode.com/Y4er/ysoserial YSOserial是一款开源的Java反序列化漏洞利用工具,由开发者Y4er维护并在GitCode上托管。该工具旨在帮助安全研究人员和开发人员理解和测试他们的系统是否易受Java反序列化攻击的影响。 项目简介 在软件世界中,数据通常需要被序列化以便存储或传输,然后通...
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
qq_50854662的博客
05-26 1633
Java反序列化漏洞(ysoserial工具使用、shiro反序列化利用)
web java反序列化例子与修复建议
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-06 722
文章目录搭环境环境 每次搭环境总是能遇到千奇百怪的问题,真是服了。 1、下载springboot demo,不要搞太新的,依赖包会出问题: 2、解压,使用idea打开,idea需要配置mvn的国内源,查看setting.xml的存放路径 然后在相应路径创建setting.xml,有则覆盖,配置如下: <settings xmlns="http://maven.apache.org/SETTINGS/1.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSc
java反序列化漏洞利用工具Jboss&WebLogic;.rar
07-23
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: we blogic回显结果测试中,稍后加入
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
java反序列化漏洞分析
weixin_47623655的博客
03-30 2317
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
JAVA反序列化漏洞原理分析
qq_37019068的博客
10-12 5994
反序列化漏洞原理分析 从序列化和反序列化说起 什么是序列化和反序列化? 简单来讲,序列化就是把对象转换为字节序列(即可以存储或传输的形式)的过程,而反序列化则是他的逆操作,即把一个字节序列还原为对象的过程。 这两个操作一般用于对象的保存和网络传输对象的字节序列等场景。 举个例子:在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便减轻内存压力或便于长期保存。抑或是在高并发的环境下将一些对象序列化后保存,等到需要时调出,可减轻服务器的压力 Java中的序列化和反序列化Java
Java反序列化漏洞及实例详解
ran的博客
04-15 3333
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
Java 反序列化漏洞
qq_61553520的博客
05-24 3438
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用...
java反序列化漏洞详解
m0_56578216的博客
09-15 265
PHP 的反序列化java反序列化是两种不同的类型,序列化和反序列化本身没有漏洞点只是为了实现数据的完整高效的传输。PHP 反序列漏洞是由于类里面的魔术方法调用了某个函数,该危险函数又调用了别的函数最终执行到了危险函数的位置JAVA反序列化漏洞是由于开发者重写了 readObject 方法,该readObject 方法方法调用了别的方法,最终执行到了例如 Transfrom 方法的危险方法。
java基础--反序列化漏洞原理
zyer
05-04 4409
原理 根据上篇文章可以了解到,一个类想要实现序列化和反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化和反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化和反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
(渗透学习)理解java反序列化漏洞原理---层序渐进
yang1234567898的博客
12-31 4193
1、为什么要序列化? 因为只有字节数据才能进行存储和传输,所以为了使对象(如class类)能够存储、传输,就需要将对象转成字节的形式 存储:不需要的时候就序列化对象后的数据存入磁盘,需要的时候就反序列还原对象进行调用 传输:当A想要用B的对象时,那么A需要将对象进行序列化传输给B,B接收之后进行反序列化还原调用 2、如何序列化和反序列化? 要求:只有实现了Serializable接口的对象才能被序列化,否则抛出异常,如: class MyObject implements Serializ
java反序列化漏洞检测工具
09-14
对于Java反序列化漏洞的检测工具,我可以给你提供一些常用的选项: 1. Ysoserial:这是一个开源项目,它提供了一组用于测试和利用Java反序列化漏洞的Payloads。你可以使用这些Payloads生成恶意的序列化数据,并检测应用程序是否对此类攻击有防范措施。 2. FindSecBugs:这是一个基于静态代码分析的安全工具,它可以检测Java代码中潜在的安全问题,包括反序列化漏洞。它可以帮助你找出代码中存在的漏洞并提供修复建议。 3. AppScan:这是IBM公司提供的一个商业安全扫描工具,它可以扫描应用程序中的漏洞,包括反序列化漏洞。它使用各种技术来检测和验证潜在的安全问题,并生成详细的报告。 4. SonarQube:这是一个开源的代码质量管理平台,它也提供了一些插件来检测反序列化漏洞。你可以使用SonarQube来扫描Java代码,并查找潜在的安全问题。 请注意,这些工具只能作为辅助工具来帮助你发现潜在的问题。最好的方式是了解反序列化漏洞原理,并编写安全的代码来防止此类漏洞的出现。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值