dubbo kryo序列化_Hessian 反序列化及相关利用链

最新推荐文章于 2023-12-26 21:45:00 发布
最新推荐文章于 2023-12-26 21:45:00 发布
阅读量341 收藏
点赞数
文章标签: dubbo kryo序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26713059/article/details/112070459
版权
本文深入探讨了Apache Dubbo的Hessian反序列化问题,包括Hessian序列化/反序列化机制、攻击面分析以及利用链。作者分析了Hessian的反序列化过程,如Bean属性访问和Field机制,以及如何通过反序列化Map类型触发方法调用。文中还提到了marshalsec工具中的Hessian利用链,并展示了Apache Dubbo HTTP和Dubbo Hessian2协议的反序列化情况。
摘要由CSDN通过智能技术生成

848782f56bbb0a1f2768b11b02525960.gif

作者:Longofo@知道创宇404实验室时间:2020年2月20日

前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apache Dubbo还支持很多协议,例如Dubbo(Dubbo Hessian2)、Hessian(包括Hessian与Hessian2,这里的Hessian2与Dubbo Hessian2不是同一个)、Rmi、Http等。Apache Dubbo是远程调用框架,既然Http方式的远程调用传输了序列化的数据,那么其他协议也可能存在类似问题,例如Rmi、Hessian等。@pyn3rd师傅之前在twiter[1]发了关于Apache Dubbo Hessian协议的反序列化利用,Apache Dubbo Hessian反序列化问题之前也被提到过,这篇文章[2]里面讲到了Apache Dubbo Hessian存在反序列化被利用的问题,类似的还有Apache Dubbo Rmi反序列化问题。之前也没比较完整的去分析过一个反序列化组件处理流程,刚好趁这个机会看看Hessian序列化、反序列化过程,以及marshalsec[3]工具中对于Hessian的几条利用链。

//关于序列化/反序列化机制//

序列化/反序列化机制(或者可以叫编组/解组机制,编组/解组比序列化/反序列化含义要广),参考marshalsec.pdf[4],可以将序列化/反序列化机制分大体分为两类:

1.基于Bean属性访问机制2.基于Field机制

基于Bean属性访问机制

•SnakeYAML•jYAML•YamlBeans•Apache Flex BlazeDS•Red5 IO AMF•Jackson•Castor•Java XMLDecoder•...

它们最基本的区别是如何在对象上设置属性值,它们有共同点,也有自己独有的不同处理方式。有的通过反射自动调用getter(xxx)setter(xxx)访问对象属性,有的还需要调用默认Constructor,有的处理器(指的上面列出来的那些)在反序列化对象时,如果类对象的某些方法还满足自己设定的某些要求,也会被自动调用。还有XMLDecoder这种能调用对象任意方法的处理器。有的处理器在支持多态特性时,例如某个对象的某个属性是Object、Interface、abstruct等类型,为了在反序列化时能完整恢复,需要写入具体的类型信息,这时候可以指定更多的类,在反序列化时也会自动调用具体类对象的某些方法来设置这些对象的属性值。这种机制的攻击面比基于Field机制的攻击面大,因为它们自动调用的方法以及在支持多态特性时自动调用方法比基于Field机制要多。

基于Field机制

基于Field机制是通过特殊的native(native方法不是java代码实现的,所以不会像Bean机制那样调用getter、setter等更多的java方法)方法或反射(最后也是使用了native方式)直接对Field进行赋值操作的机制,不是通过getter、setter方式对属性赋值(下面某些处理器如果进行了特殊指定或配置也可支持Bean机制方式)。在ysoserial中的payload是基于原生Java Serialization,marshalsec支持多种,包括上面列出的和下面列出的。

•Java Serialization•Kryo•Hessian•json-io•XStream•...

就对象进行的方法调用而言,基于字段的机制通常通常不构成攻击面。另外,许多集合、Map等类型无法使用它们运行时表示形式进行传输/存储(例如Map,在运行时存储是通过计算了对象的hashcode等信息,但是存储时是没有保存这些信息的),这意味着所有基于字段的编组器都会为某些类型捆绑定制转换器(例如Hessian中有专门的MapSerializer转换器)。这些转换器或其各自的目标类型通常必须调用攻击者提供的对象上的方法,例如Hessian中如果是反序列化map类型,会调用MapDeserializer处理map,期间map的put方法被调用,map的put方法又会计算被恢复对象的hash造成hashcode调用(这里对hashcode方法的调用就是前面说的必须调用攻击者提供的对象上的方法),根据实际情况,可能hashcode方法中还会触发后续的其他方法调用。

//Hessian 简介//

Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且Hessian的JAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。本文主要讲解Hessian的序列化/反序列化。

下面做个简单测试下Hessian Serialization与Java Serialization:

//Student.javaimport java.io.Serializable;public class Student implements Serializable {
        private static final long serialVersionUID = 1L;    private int id;    private String name;    private transient String gender;    public int getId() {
            System.out.println("Student getId call");        return id;    }    public void setId(int id) {
            System.out.println("Student setId call");        this.id = id;    }    public String getName() {
            System.out.println("Student getName call");        return name;    }    public void setName(String name) {
            System.out.println("Student setName call");        this.name = name;    }    public String getGender() {
            System.out.println("Student getGender call");        return gender;    }    public void setGender(String gender) {
            System.out.println("Student setGender call");        this.gender = gender;    }    public Student() {
            System.out.println("Student default constractor call");    }    public Student(int id, String name, String gender) {
            this.id = id;        this.name = name;        this.gender = gender;    }    @Override    public String toString() {
            return "Student(id=" + id + ",name=" + name + ",gender=" + gender + ")";    }}
//HJSerializationTest.javaimport com.caucho.hessian.io.HessianInput;import com.caucho.hessian.io.HessianOutput;import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;public class HJSerializationTest {
        public static  byte[] hserialize(T t) {
            byte[] data = null;        try {
                ByteArrayOutputStream os = new ByteArrayOutputStream();            HessianOutput output = new HessianOutput(os);            output.writeObject(t);            data = os.toByteArray();        } catch (Exception e) {
                e.printStackTrace();        }        return data;    }    public static  T hdeserialize(byte[] data) {
            if (data == null) {
                return null;        }        Object result = null;        try {
                ByteArrayInputStream is = new ByteArrayInputStream(data);            HessianInput input = new HessianInput(is);            result = input.readObject();        } catch (Exception e) {
                e.printStackTrace();        }        return (T) result;    }    public static  byte[] jdkSerialize(T t) {
            byte[] data = null;        try {
                ByteArrayOutputStream os = new ByteArrayOutputStream();            ObjectOutputStream output = new ObjectOutputStream(os);            output.writeObject(t);            output.flush();            output.close();            data = os.toByteArray();        } catch (Exception e) {
                e.printStackTrace();        }        return data;    }    public static  T jdkDeserialize(byte[] data) {
            if (data == null) {
                return null;        }        Object result = null;        try {
                ByteArrayInputStream is = new ByteArrayInputStream(data);            ObjectInputStream input = new ObjectInputStream(is);            result = input.readObject();        } catch (Exception e) {
                e.printStackTrace();        }        return (T) result;    }    public static void main(String[] args) {
            Student stu = new Student(1, "hessian", "boy");        long htime1 = System.currentTimeMillis();        byte[] hdata = hserialize(stu);        long htime2 = System.currentTimeMillis();        System.out.println("hessian serialize result length = " + hdata.length + "," + "cost time:" + (htime2 - htime1));        long htime3 = System.currentTimeMillis();        Student hstudent = hdeserialize(hdata);        long htime4 = System.currentTimeMillis();        S
最低0.47元/天 解锁文章
Davider_Wu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dubbo-samples-master_dubbo_breathgz9_
10-03
5. **协议与序列化(Protocol & Serialization)**:Dubbo支持多种通信协议和序列化方式,如Dubbo协议、RMI、HTTP等,以及Hessian、FastJson、Kryo序列化方式。通过`dubbo-samples-master`,我们可以了解到如何...
Hessian实现序列化反序列化、案例
热门推荐
https://gitee.com/micai-code
08-23 1万+
摘要:Hessian实现序列化反序列化案例。 一:创建Maven工程,引入Hessian依赖 <!--hessian--> <dependency> <groupId>com.caucho</groupId> <artifactId>hessian</artifactId> ...
Hessian序列化实例
feinifi的博客
07-12 4547
Hessian也是一种可以做序列化的工具,他也支持多语言,这里介绍java中做序列化的示例。Hessian序列化和jdk自带的序列化,思路基本一样,只不过Hessian序列化之后,字节数更小,性能更优。另外Hessian提供了两套api,默认是hessian,也提供了一个升级版本的hessian2的序列化api,从名字上看,hessian2应该是序列化性能更优,如果使用Hessian序列化,推荐...
Hessian 反序列化相关利用
晓得哥的博客
02-29 2333
作者:Longofo@知道创宇404实验室 时间:2020年2月20日 原文地址:https://paper.seebug.org/1131/#_2 前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
记一次接口交互is开头的属性序列化后“is”丢失问题
最新发布
Alex的博客
12-26 1507
查看发现该字段为boolean类型的isIsRefresh,但传给第三方json串里字段变为了isRefresh,发现类中定义的字段确实为isIsRefresh,与设计文档上相同,并非定义错误。因此猜测是在服务传递时导致is丢失。对于这个问题,我还是要说一句:既然有规范请严格按照规范,起这种命名害人害己,请大家谨记,以下是阿里开发规范,仅供参考!
Json序列化时is开头的属性序列化后“is”丢失
yangf257的博客
06-14 2962
在使用jackson和fastjson序列化时遇到的问题
34_dubbo都支持哪些通信协议以及序列化协议?.zip
11-13
标题 "34_dubbo都支持哪些通信协议以及序列化协议?" 暗示了我们即将探讨的是关于Dubbo框架在网络通信和数据序列化方面的内容。Dubbo是阿里巴巴开源的一个高性能、轻量级的Java服务治理框架,它为分布式应用提供了...
dubbo的技术文档
12-03
- **序列化(Serialization)**:数据在网络中传输前需要进行序列化Dubbo支持多种序列化方式,如Hessian2、FastJson、Kryo等,选择合适的序列化方式可以提高通信效率。 5. **服务治理**: - **负载均衡(Load ...
dubbo 视频下载
11-20
6. **协议与序列化**:Dubbo支持多种通信协议,如HTTP、RMI、HessianDubbo等,以及多种序列化方式,如Java序列化、FastJson、Kryo等。选择合适的协议和序列化方式对服务性能有很大影响。 7. **负载均衡策略**:...
Hessian 学习笔记
zgmzyr的专栏
04-16 610
转载于:http://www.360doc.com/content/10/0919/14/1542811_54854182.shtml   一、简介        Hessian是由caucho提供的一个基于binary-RPC实现的远程通讯library。   1、是基于什么协议实现的?            基于Binary-RPC协议实现。   2、怎么发起请求?
Java Unmarshalling Security - 攻击Hessian协议
Exploit的小站~
05-10 8862
0x00 Hessian协议解析 Hessian是一个轻量级的Java反序列化框架,和Java原生的序列化对比,hessian更加高效并且非常适合二进制数据传输。 既然是一个序列化/反序列化框架,hessian也有反序列化命令执行的问题,这个在marshalsec工具中有所体现。这里有个有趣的点,在hessian框架中,ysoserial框架提供的gadget无法使用,你会发现在hessian...
『Java安全』反序列化-浅析Hessian反序列化POP
Ho1aAs‘s Blog
07-22 1129
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
hessian学习基础篇——序列化反序列化
hck341204的专栏
03-12 425
1、概念介绍 把Java对象转换为字节序列的过程称为对象的序列化。 把字节序列恢复为Java对象的过程称为对象的反序列化。 对象的序列化主要有两种用途:   1) 数据介质存储   2) 数据网络传输 2、对象序列化实例 为了更好的理解hessian序列化机制,所以把java和hessian的对象序列化实例都一一列出。 ...
java hessian2_Java Hessian2Output類代碼示例
weixin_42544663的博客
02-13 570
本文整理匯總了Java中com.caucho.hessian.io.Hessian2Output類的典型用法代碼示例。如果您正苦於以下問題:Java Hessian2Output類的具體用法?Java Hessian2Output怎麽用?Java Hessian2Output使用的例子?那麽恭喜您, 這裏精選的類代碼示例或許可以為您提供幫助。Hessian2Output類屬於com.caucho....
java 中isXXX序列化问题
yuchunfangxxx的博客
10-25 1109
今天上午系统中有人在java实体类中添加了一个private boolean isCheckPlate 属性,导致给硬件返回信息时抱错。在此手动测试下这个问题。 下边是我写的一个测试的实体类,通过main方法将实体类转成json,查看json的内容。 package com.lecent.park.entity; import org.springblade.core.tool.jackson.JsonUtil; import java.util.Map; public class Test {
Javaweb安全——Hessian 反序列化
weixin_43610673的博客
02-03 1874
Hessian类似于RMI也是一种RPC(Remote Produce Call)的实现。基于HTTP协议,使用二进制消息进行客户端和服务器端交互。Hessian 自行定义了一套自己的储存和还原数据的机制。对 8 种基础数据类型、3 种递归类型、ref 引用以及 Hessian 2.0 中的内部引用映射进行了相关定义。这样的设计使得 Hassian 可以进行跨语言跨平台的调用。
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 851
Hessian反序列化漏洞学习记录
java高效序列化_Dubbo中使用高效的Java序列化Kryo和FST)
weixin_32310195的博客
02-19 326
完善中……TODO 生成可点击的目录目录序列化漫谈启用Kryo和FST注册被序列化类无参构造函数和Serializable接口序列化性能分析与测试测试环境测试脚本Dubbo RPC中不同序列化生成字节大小比较Dubbo RPC中不同序列化响应时间和吞吐量对比未来序列化漫谈dubbo RPC是dubbo体系中最核心的一种高性能、高吞吐量的远程调用方式,我喜欢称之为多路复用的TCP长连接调用,简单的说...
dubbo反序列化导致Timestamp丢失时分秒,怎么办
06-02
这个问题是由于dubbo默认使用了Hessian2进行序列化反序列化,而Hessian2对于java.sql.Timestamp类型的序列化存在问题,会导致反序列化后的对象中Timestamp的时分秒丢失。解决这个问题的方法是使用其他的序列化方式,比如使用Java的标准序列化方式或者使用JSON进行序列化反序列化。具体的做法如下: 1. 使用Java的标准序列化方式 在dubbo的配置文件中,将序列化方式改为Java自带的序列化方式: ``` <dubbo:protocol name="dubbo" serialization="java" /> ``` 2. 使用JSON进行序列化反序列化dubbo的配置文件中,将序列化方式改为fastjson或者jackson: ``` <dubbo:protocol name="dubbo" serialization="fastjson" /> ``` 或者 ``` <dubbo:protocol name="dubbo" serialization="jackson" /> ``` 其中,fastjson和jackson都是常用的JSON序列化库。使用JSON进行序列化反序列化可以避免Hessian2对于Timestamp的序列化问题,同时还可以提高序列化反序列化的性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值