一、 前言
认识Java序列化与反序列化
定义:
序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程
反序列化即逆过程,由字节流还原成对象
注: 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。
且看接下来怎么一步步揭开反序列化漏洞利用的面纱的。(小白文)
二、CVE-2018-2628反序列化漏洞详情分析
在分析这个漏洞的时候,中间也看了好多前辈们写的有关Java反序列化漏洞分析的或详细或简略或比价有深度的文章。自己也琢磨了,虽然还没有动手写漏洞利用脚本,但是基本已经了解了反序列化漏洞从发现到利用的整个过程。其中也看了ysoserial-master通用利用工具的源码来加深理解。
(1) 反序列化漏洞利用方法
1.1为了更好的了解漏洞形成的原因,跟踪了脚本抓包分析以及反编译了源码来解开对java反序列化漏洞的疑惑
这部分是参考自别人针对这个漏洞的分析:
来看看InboundMsgAbbrev中resolveProxyClass的实现,resolveProxyClass是处理rmi接口类型的,只判断了java.rmi.registry.Registry,其实随便找 一个rmi接口即可绕过。
protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {
String[] arr$ = interfaces;
int len$ = interfaces.length;
for(int i$ = 0; i$ < len$; &