java安全 反序列化(二)

最新推荐文章于 2024-05-02 07:07:10 发布
最新推荐文章于 2024-05-02 07:07:10 发布
阅读量602 收藏
点赞数
分类专栏: java安全 文章标签: java 安全 开发语言 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sechelper/article/details/128224297
版权

java安全 反序列化(二)

前言

寻找反序列化链(Gadget)

  1. 在项目里找漏洞

    readObject里的漏洞一般比较少

  2. 寻找项目的依赖库类中的Gadget

    一些依赖也会有反序列化的操作,如果jar包中的某些类在进行反序列化时有可控的点,就可以利用jar包中存在的漏洞来构造调用链

ysoserial工具

ysoserial工具可以帮助我们在依赖库里面找到利用链。

git clone https://github.com/frohoff/ysoserial.git

进入ysoserial目录,编译jar包

mvn clean package -DskipTests

image-20221128161645257

出现BUILD SUCCESS表示编译成功,在target文件夹下

注意:要使用java 1.7+ 的jdk环境

最经典的反序列化利用链

Apache Commons Collections.jar中的一条pop链,这个类库使用广泛,所以很多大型的应用也存在着这个漏洞。

Commons Collections 在3.x < 3.2.2 以及4.0这些版本范围里,存在反序列化漏洞

当目标Java应用依赖库里包含存在漏洞的Commons Collections库,且对由攻击者可控的数据进行反序列化时,即会造成任意代码执行。

我们以ysoserial里CommonsCollections6这个payload为例,进行分析。

先使用ysoserial生成反序列化的payload

image-20221128161942308

使用maven导入commons-collections依赖

pom.xml

        <dependency>
            <groupId>commons-collections</groupId>
            <artifactId>commons-collections</artifactId>
            <version>3.2.1</version>
        </dependency>

在创建测试代码

TestCC6

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.lang.reflect.InvocationTargetException;

public class TestCC6 {
   
    public static void main(String[] args) throws IOException, ClassNotFoundException{
   
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("cc6.ser"));
        objectInputStream.readObject();
        objectInputStream.close();
    }
}

把生成的cc6.ser放在项目根目录下执行代码,弹出计算机

image-20221128172245115

运行环境为java11

要解析cc6链的结构代码要先学习下java反射相关,我们可以在很多java漏洞的POC中看到反射的利用,所以学习java安全是绕不开反射的。

java反射

Java反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法;对于任意一个对象,都能够调用它的任意方法和属性(包括私有的方法和属性);这种动态获取信息以及动态调用对象方法的功能称为java语言的反射机制。

涉及到java中的几个类:

Class类	代表类的实体,在运行的java应用程序中表示类和接口

Field类:代表类的成员变量(成员变量也称为类的属性)

Method类:代表类的方法

Constructor类:代表类的构造方法

在Java中你看到的绝大部分成员,其实都可以称之为对象(除了普通数据类型和静态成员)。

类也是对象,类是java.lang.Class类的实例对象

Class类抽象出了java中类的特征并提供了一些方法

有三种方式获得Class类实例:

1.如果知道class的完整类名,可以调用Class类的静态方法Class.forName获取
Class clz = Class.forName("com.dong.User");

2.任何一个类都有一个隐含的静态成员class,这个属性就存储着这个类对应的Class类的实例:
Class clz = com.dong.User.class;

3.调用这个对象的getClass()方法:
Class clz = (new User()).getClass();

测试获取,调用方法

User

public class User {
   
        public void test(String name){
   
            System.out.println("Hello:"+name);
        }
    }
获取方法:

我们之前已经提到了Method这个类,java中所有的方法都是Method类型,所以我们通过反射机制获取到某个对象的方法也是Method类型的。通过Class对象获取某个方法:

方法的名称和方法的参数列表,两者信息才能确定某一个方法

clz.getMethod(方法名,这个方法的参数类型)
调用方法:

Method类中有一个invoke方法,就是用来调用特定方法的,用法如下:

public Object invoke(Object obj, Object... args)

第一个参数是调用该方法的对象,第二个参数是一个可变长参数,是这个方法的需要传入的参数

testUser

import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;

public class testUser {
   
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException {
   
        Class user = (new User()).getClass();
        //第二个参数要传class类,如果参数有多个传入:new Class[]{String.class,String.class} 
        Method test = user.getMethod("test",String.class);
        //如果第二个参数有多个传入:new Object[]{"1","2"}
        test.invoke((new User()),"liangBan");
    }
}
image-20221129140628374

修改变量

User

public class User {
   
    private String pass = "123321";
    @Override
    public String toString() {
   
        return "User{" +
                "pass='" + pass + '\'' +
                '}';
    }
}

testUser

import java.lang.reflect.Field;
import java.lang.reflect.InvocationTargetException;
import java.lang.reflect.Method;

public class testUser {
   
    public static void main(String[] args) throws NoSuchMethodException, InvocationTargetException, IllegalAccessException, NoSuchFieldException {
   
        Class user = (new User()).getClass();
        //获取私有属性对象
        Field pass = user.getDeclaredField("pass");
        //关闭java访问控制检查,就可以给private属性赋值调用
        pass.setAccessible(true);
        User u = new User();
		System.out.println(u);
        pass.set(u,"liangban");
        System.out.println(u);
        System.out.println(pass.get(u));
    }
}

最低0.47元/天 解锁文章
助安社区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java反序列化漏洞分析
weixin_47623655的博客
03-30 2359
Java反序列化漏洞(Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击
Web安全--反序列化漏洞(java篇)
bobo_milk的博客
11-29 3112
java反序列化参考
Java 反序列化原理与基础,URLDNS攻击链分析
weixin_49248030的博客
11-03 698
​ 序列化是指将对象转化为字节流,其目的是便于对象在内存、文件、数据库或者网络之间传递。反序列化则是序列化的逆过程,即字节流转化为对象的过程,通常是程序将内存、文件、数据库或者网络传递的字节流还原成对象。在 Java 原生的API 中,序列化的过程由 ObjectOutputStream 类的 writeObject()方法实现,反序列化过程由 ObjectInputStream 类的 readObject()方法实现。
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复
最新发布
2401_84302369的博客
05-02 818
将内存对象转化为可以存储以及传输的进制字节、xml、json、yaml 等格式。将虚化列存储的进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
JAVA序列化和反序列化漏洞详解(小白必看)
weixin_61638307的博客
03-11 700
Java序列化:将Java对象通过writeObject()方法转换为字节流并写入磁盘中。Java反序列化:将字节流通过readObject()方法读取出来并转换为对象。
Java 反序列化攻击
m0_62571837的博客
01-21 443
漏洞由FoxGlove 的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。 由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也就意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁,这样的应用的数量会以百万计。
java反序列化
weixin_52221158的博客
08-17 789
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
JAVA反序列化安全
c0c0cf的专栏
09-15 6161
微信公众号:DebugPwn 新浪微博: http://weibo.com/u/2275304001/home?wvr=5 漏洞简介: 反序列化漏洞有十年的历史,存在于不同的编程语言中,最为明显的当属Java、PHP、Python、Ruby。漏洞的本质就是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,
java反序列化工具
11-21
类似地,WebLogic也可能在处理反序列化的JMX(Java管理扩展)或Web服务请求时遇到安全问题。 3. **WebSphere**:IBM的产品,同样遵循Java EE标准。反序列化漏洞可能出现在处理JNDI(Java命名和目录接口)查找、EJB...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
Java中对象序列化与反序列化详解
09-03
本文将深入探讨Java中的对象序列化与反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
java序列化和反序列化,面试必备
12-21
Java序列化和反序列化Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
JAVA反序列化漏洞攻守之道
坏蛋呆呆的博客
05-19 1331
1、 什么是反序列化漏洞 序列化就是把对象转成字节流,便于存储在文件、内存、数据中。如ObjectOutputStream中的writeObject()方法。 反序列化是序列化的逆向过程,将字节流还原成对象。如ObjectInputStream类中readObject()方法。 序列化和反序列是让Java对象脱离Java运行环境传输的一种手段,多用于数据传输和存储。在微服务和远程调用大流行的情形下,序列化和反序列化随处可见,漏洞防守也是重中之重。 ...
java反序列化漏洞(入门)
xiaoheizi的博客
07-02 770
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行反序列化代码,可以看到序列化的数据被还原了。
Java反序列化漏洞及实例详解
ran的博客
04-15 3725
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
Commons-Collections1反序列化
m0_62770485的博客
12-05 680
JAVA安全-Commons-Collections1反序列化
Java对象序列化与反序列化详解
"Java对象序列化与反序列化技术详解" 在Java编程中,对象序列化是一个关键的概念,它允许我们将Java对象转换成可以存储或在网络上传输的进制数据表示,即字节流。对象反序列化则是将这个字节流还原回原来的Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值