反序列化漏洞原理从零学起-小白都能懂反序列化漏洞

最新推荐文章于 2024-08-09 20:21:52 发布
最新推荐文章于 2024-08-09 20:21:52 发布
阅读量1k 收藏 10
点赞数 4
分类专栏: 反序列化漏洞专题研究 文章标签: 反序列化 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silencediors/article/details/102934244
版权

前言

是不是语言基础不够好?是不是很想了解安全圈子里一天说到晚的java各类中间件反序列化漏洞的底层原理,但是看网上的文章又各种看不懂?首先,心态要摆正,java反序列化漏洞对于安全人员或者开发人员而言,都不是简单的东西,特别是网上上来就说cc链那些包含了各种设计模式的东西,自然很晦涩。本系列文章将从一个小白的视角(不要问为什么不用大佬的视角,因为我没有)去与圈内的大小伙伴进行探讨反序列化漏洞的成因,现状,以及挖掘。作为第一篇文章,先科普。

我来举个生动的例子,假如现在已经到2500年了,人类发明了空间穿梭机,原理是:如果你要去另外一个地方,先在本地将你的身体分解为一个个原子,然后目的地那里利用相同的原子将你重组,重组之后你就等于空间穿梭了。

类比:你作为一个对象,本地将你身体分解的动作就是序列化(将对象状态转化为字节序列或其他可以存储或传输的形式),目的地利用原子将身体还原的过程就是反序列化(将字节序列还原成对象)

为什么会出现序列化和反序列化这种东西?

按照上面的理解,人类世界出现空间穿梭机的原因就是因为它利于人类的出行,那计算机世界中一个道理,序列化和反序列化的存在也是因为便于数据存储和传输。
百度给的答案:
二进制序列化保持类型保真度,这对于在应用程序的不同调用之间保留对象的状态很有用。例如,通过将对象序列化到剪贴板,可在不同的应用程序之间共享对象。您可以将对象序列化到流、磁盘、内存和网络等等。远程处理使用序列化“通过值”在计算机或应用程序域之间传递对象。

反序列化漏洞

不妨大胆的想想,如果在进行空间穿梭的过程中,有可以控制或改变你穿梭过程中的状态的人存在。是不是很可怕呢?
对于计算机而言,无非就是输入-shell-输出,参考下冯诺依曼模型如下:
在这里插入图片描述
在这个过程中,存在了我们可以控制的数据。这个也是无法避免的,比如说,我们的QQ,给对方发送信息的内容必须交由客户控制,这也是实现某些功能的必须条件。
序列化和反序列化示意图如下:
序列化反序列化示意图
在反序列化过程中,也就是对对象进行还原的过程中,如果程序对不可信的数据进行了反序列化处理,那么攻击者就可以控制此序列化数据,进行恶意代码的输入,控制此应用程序,并获得此应用程序所在的载体(操作系统)的权限。

silencediors
关注
专栏目录
反序列化漏洞原理_Weblogic XMLDecoder 反序列化漏洞
weixin_39997194的博客
12-11 608
这次来研究一下weblogic一些反序列化漏洞.主要是: CVE-2017-3506 ,CVE-2017-10271 CVE-2019-2725这三个CVE,就是一个不停绕过的过程.从CVE-2017-3506开始发现,官方设置黑名单,安全研究者绕过了两次.感觉可能会有第三次. 漏洞测试环境参考:Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(...
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 351
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 8817
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
Fastjson反序列化漏洞
最新发布
qq_50296568的博客
08-09 1168
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
WEB安全-PHP反序列化漏洞原理
qq_59350385的博客
04-11 1760
一、漏洞原理 在提及漏洞前,首先要先理解PHP中的serialize()和unserialize()两个函数(由于没有PHP开发基础,请各位大哥指出小弟本文中的错误),serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储,再通过unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的magic function(魔术方法)来构造特定的语句,从而达到控制整个反
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 6745
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
反序列化漏洞原理和防御方式
热门推荐
wangyuxiang946的博客
07-18 1万+
攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码 问题的根源在于,反序列化时没有对生成的对象类型做限制
Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决(1)
m0_60575487的博客
04-07 689
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
【代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
2401_83739434的博客
04-14 737
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
CTF题型 Python中pickle反序列化进阶利用&amp;例题&amp;opache绕过(1)
2401_84009579的博客
04-20 981
机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**
反序列化漏洞原理详解
kali_Ma的博客
12-18 2788
Apache shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 本文针对Shiro进行了一个原理性的讲解,从源码层面来分析了Shiro的认证和授权的整个流程,并在认证与授权的这个流程讲解冲,穿插说明rememberme的作用,以及为何该字段会导致反序列化漏洞。 Apache shiro认证 在该小节中我们将会详细讲解Shiro是
关于反序列化漏洞的一些理解
才不是小弱鸡的博客
09-16 9533
  php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的...
理解反序列化漏洞原理
qq_50620293的博客
03-18 6176
反序列化漏洞一直搞不明白,所以今天特意翻出很久未动的java,学习了一下序列化。 简单来说,序列化可以理解为就是将对象转化为字节流,字节流中包括这个对象的数据和信息,序列化反序列化便于类的持久保存,并且很利于网络传输。在面向对象的编程中,都会涉及到序列化反序列化,像java中,有一个接口Serializable,用来实现java序列化,php中也有Serializable方法来实现php序列化。这里我写了一个java的序列化。 下面是一个student类,为实现序列化,需要继承Serializable接
C#反序列化漏洞
m0_47968686的博客
08-20 1598
CVE-2020-0688反序列化漏洞 漏洞成因 漏洞产生的主要原因就是在Exchange ECP组件中发现,邮件服务在安装的过程中不会随机生成秘钥,也就是说所有默认安装的Exchange服务器中的validationKey和decryptionKey的值都是相同的,攻击者可以利用静态秘钥伪造__VIEWSTATE参数从而触发反序列化漏洞。 环境、工具 WinServer2016、Exchange Server2016、win10、dnspy 分析 default.aspx被解析,继承Page类(Page
java基础--反序列化漏洞原理
zyer
05-04 4545
原理 根据上篇文章可以了解到,一个类想要实现序列化反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
JAVA反序列化漏洞原理分析
qq_37019068的博客
10-12 6893
反序列化漏洞原理分析 从序列化反序列化说起 什么是序列化反序列化? 简单来讲,序列化就是把对象转换为字节序列(即可以存储或传输的形式)的过程,而反序列化则是他的逆操作,即把一个字节序列还原为对象的过程。 这两个操作一般用于对象的保存和网络传输对象的字节序列等场景。 举个例子:在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便减轻内存压力或便于长期保存。抑或是在高并发的环境下将一些对象序列化后保存,等到需要时调出,可减轻服务器的压力 Java中的序列化反序列化 在Java
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
PHP反序列化漏洞原理浅谈
wednesday的博客
07-12 819
序列化反序列化 序列化就是指将数据结构或者对象状态转换成可取用的格式,以便在相同或者不同的计算机中进行数据的传输。 个人理解 就是将一个对象用一串字符表示出来用来进行通信和传输,一个类,里面包含很多方法和变量,不能直接以类这种格式进行传输,不然会传输很多的字符而且也不好识别。所以将类转换成一种固定的格式传输再进行逆向的转换这就是序列化反序列化。 类比 淘宝上买个桌子,然后怎么送到你手里呢?如果将桌子整个送过来未免也太麻烦了,所以聪明的商家将桌子拆成很多个零部件进行运输,等到了目的地再将其进行组
Java反序列化漏洞原理解析
ZHANGJNWEI的专栏
07-16 465
业务类实现java.io.Serializable接口才可被反序列化,而且必须所有属性是可序列化的,除了transient修饰的属性除外。 Java反射 Java中定义的一个类本身也是一个类对象,它们是java.lang.Class类的实例。类对象的特征包括 表示正在运行的 Java 应用程序中的类和接口 没有公共构造方法,由 Java 虚拟机自动构造 提供类本身的信息,比如有几种构造方法, 有多少属性,有哪些普通方法 所以先通过对象找到某个类对象,再由类对象确认类的方法和属性。 packag
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值