Java 反序列化漏洞原理

最新推荐文章于 2024-07-15 22:02:35 发布
最新推荐文章于 2024-07-15 22:02:35 发布
阅读量2.4k 收藏 6
点赞数 1
分类专栏: web安全 文章标签: java反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010651541/article/details/78369181
版权
本文详细介绍了Java反序列化漏洞的原理,包括漏洞如何产生、基础分析、利用方式和挖掘方法。Apache Commons Collections库中的InvokerTransformer允许通过反射执行任意代码,形成攻击链。修复措施包括升级库至3.2.2以上版本。
摘要由CSDN通过智能技术生成

一、漏洞怎么生产的

如果一个应用接受反序列化数据,并且没有对反序列化的对象做限制,就可能导致代码执行。(使用了有安全缺陷的Apache Commons Collections jar包)

    public static void main(String[] args) {

        /*under attacker's control*/
        File f =new File(args[0]);
        try {
            FileInputStream fis = new FileInputStream(f);
            ObjectInputStream ois=new ObjectInputStream(fis);
            /*where vul produce*/
            ois.readObject();
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }

    }

上面就是类似生产漏洞的代码,但是不是接受远程数据,接受远程导致RCE,原理类似。其实这个漏洞发现隐蔽性挺强的,大神发现也是太牛逼。

二、分析前基础知识

Apache Commons Collections是一个扩展了Java标准库里的Collection结构的第三方基础库,其中定义了TransformedMap结构,其定义了一个静态方法decorate(),可以完成Map结构的转换。

    public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
        return new TransformedMap(map, keyTransformer, valueTransformer);
    }

调用此方法可以完成Map的转换:

Map oldMap = new HashMap();
Map newMap = TransformedMap.decorate(oldMap,keyTransformer,valueTransformer);

TransformedMap实现了一个抽象类AbstractInputCheckedMapDecorator,当TransformedMap的setValue()方法被调用时,会调用抽闲父类AbstractInputCheckedMapDecorator的setValue()方法。

public class TransformedMap extends AbstractInputCheckedMapDecorator implements Serializable {
   
    private static final long serialVersionUID = 7023152376788900464L;
    protected final Transformer keyTransformer;
    protected final Transformer valueTransformer;

}

AbstractInputCheckedMapDecorator的setValue()方法:

    public Object setValue(Object value) {
        value = this.parent.checkSetValue(value);
        return this.entry.setValue(value);
    }

于是继续回到TransformedMap的checkSetValue方法,从而调用了transform()方法,并且,transform()方法的参数就是setValue()方法的参数。

    protected Object checkSetValue(Object value) {
        <
最低0.47元/天 解锁文章
Venscor
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
反序列化漏洞详解
xcxhzjl的博客
11-18 1万+
一、反序列化漏洞原理 1、相关概念 序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程,一般将对象转换为字节流。序列化时,对象的当前状态被写入到临时或持久性存储区。 反序列化(Deserialization):从序列化的表示形式中提取数据,即把有序字节流恢复为 2、序列化出现场景 ●远程和进程间通信(RPC/IPC) ●连线协议、Web服务、消息代理 ●缓存/持久性 ●数据库、缓存服务器、文件系统 ●HTTP cookie、HTML表单参数、API身份验
Java 反序列化漏洞
qq_61553520的博客
05-24 5109
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1354
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞原理
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 6410
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
java反序列化漏洞工具
03-07
本文将深入探讨Java反序列化漏洞原理、危害以及如何使用特定的工具进行检测。 Java反序列化Java平台中一个常见的操作,它允许将序列化的对象状态转换回原来的对象实例。序列化是将对象的状态转化为字节流,以便...
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞是一种在信息安全领域引起广泛关注的新型高危漏洞,其最早在2015年被曝出,存在于Apache Commons Collections等公共库中。Java反序列化漏洞主要影响基于Java编写的各类应用程序,由于其能够远程执行...
基于字节码搜索的Java反序列化漏洞调用链挖掘方法.pdf
06-27
首先,文章对Java反序列化漏洞的基本原理进行了说明,指出了该漏洞的常见场景,并详细描述了如何构造反序列化漏洞调用链。文章强调了自动化挖掘工具在挖掘过程中的作用,并基于上述原理和方法,实现了一个名为...
Java反序列化漏洞1
08-04
本文将详细介绍Java反序列化漏洞原理、危害和防范措施。 什么是序列化和反序列化? 在Java语言中,对象是无法直接存储或传输的,因为对象是抽象的概念,无法被物理存储或传输。为了解决这个问题,Java提供了序列...
一文了解反序列化漏洞
allintao的博客
03-21 961
通过再cookie的rememberme字段中插入恶意payload触发shiro框架的rememberme的反序列化功能,导致任意代码执行shiro1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==由于开发人员未修改AES密钥而直接使用shiro框架,导致了该问题Fastjson是java的一个库,可以通过toJSONString()方法。
Java反序列化漏洞分析
qq_51453285的博客
06-10 1126
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
Java反序列化漏洞及实例详解
ran的博客
04-15 4015
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
java基础--反序列化漏洞原理
zyer
05-04 4533
原理 根据上篇文章可以了解到,一个类想要实现序列化和反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化和反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化和反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
Java反序列化漏洞
MRS_jianai的博客
02-19 737
Java反序列化源码复现
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3174
java反序列化参考
37-WEB漏洞-反序列化之PHP&JAVA全解(上)
m0_62670778的博客
01-21 1095
5、分析代码,可以得出:要想得到flag的值,要让COOKIE的值与KEY的值相等。原理解析(涉及:反序列化魔术方法调用,弱类型绕过,ascii 绕过)2、比较COOKIE的值与KEY的值是否相等时,存在一个陷阱。这个参数,否则执行的是显示源文件的信息,而不是flag的值。1、可用发现登录按钮无法使用,只是一个摆设。3、使用KEY为空的值,进行反序列化。5、查看网页源代码,获得flag。2、查看网页源代码,发现有一个。7、获得flag的值。4、在url后面加上。1、在URL后面添上。
Java反序列化漏洞原理
07-14
Java反序列化漏洞是一种安全漏洞,它利用了Java中的对象序列化和反序列化的机制。在Java中,对象可以通过序列化转换为字节流,然后再通过反序列化将字节流转换为对象。这个过程可以用来在网络上传输对象,或者将对象持久化到硬盘。 然而,如果在反序列化过程中没有足够的安全检查,恶意攻击者可以构造特定的恶意序列化数据,利用Java反序列化机制来执行恶意代码。 具体原理如下: 1. 攻击者构造一个恶意的序列化数据,其中包含恶意代码。 2. 受害者程序接收到这个恶意序列化数据,并试图将其反序列化为一个对象。 3. 在反序列化的过程中,Java会尝试调用对象的readObject()方法来还原对象。攻击者可以在恶意序列化数据中构造一个特殊的类,其中包含了恶意代码。 4. 在调用readObject()方法时,恶意代码就会被执行,可能导致不可预料的安全问题,比如远程代码执行、拒绝服务等。 这种漏洞的危害性很大,因为攻击者可以通过构造恶意序列化数据来执行任意代码。为了防止这种漏洞,开发者应该对反序列化的数据进行严格的校验和过滤,确保只反序列化可信任的数据。另外,可以使用一些防御措施,如禁用不必要的类的反序列化能力、使用安全的序列化库等来减少风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值