java的反序列化操作 可以绕过对象_fastjson反序列化漏洞绕过方式有哪些?

最新推荐文章于 2024-08-15 15:00:41 发布
最新推荐文章于 2024-08-15 15:00:41 发布
阅读量1.6k 收藏
点赞数
文章标签: java的反序列化操作 可以绕过对象
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35256987/article/details/114860227
版权

序列化其实就是将对象转换为流,利于储存和传输的格式,反序列化就是跟序列化反过来,可以fastjson反序列化会有漏洞,大家要怎么去绕过这个漏洞呢?下面我们就给大家讲解一下。

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

漏洞防御:

1、类的白名单校验机制:

实际上原理很简单,就是对所有传入的反序列化对象,在反序列化过程开始前,对类型名称做一个检查,不符合白名单的类不进行反序列化操作。很显然,这个白名单肯定是不存在Runtime的。

2、禁止JVM执行外部命令Runtime.exec。这个措施可以通过扩展 SecurityManager 可以实现。

反序列化漏洞怎么挖掘?

1、确定反序列化输入点

首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:

源码审计:寻找可以利用的“靶点”,即确定调用反序列化函数readObject的调用地点。

对该应用进行网络行为抓包,寻找序列化数据,如wireshark,tcpdump等。

2、黑盒流量分析(可能面试)

在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:

(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;

(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;

以上意味着存在Java反序列化,可尝试构造payload进行攻击。

黑盒java的RMI

RMI是java的一种远程对象(类)调用的服务端,默认于1099端口,基予socket通信,该通信实现远程调用完全基于序列化以及反序列化。

白盒代码审计

(1)观察实现了Serializable接口的类是否存在问题。

(2)观察重写了readObject方法的函数逻辑是否存在问题。

再考察应用的Class Path中是否包含Apache Commons Collections库。

生成反序列化的payload。

提交我们的payload数据。

其实只要大家知道fastjson反序列化的原理,并且知道它的防御方式,就可以绕过它了。最后大家如果想要了解更多json相关知识,敬请关注奇Q工具网。

推荐阅读:

tom-sun
关注
漏洞复现 - - - Fastjson反序列化漏洞
weixin_67503304的博客
08-25 6408
简单讲解Fastjson反序列化漏洞,简单讲述漏洞利用shell
fastjson 1.2.24反序列化漏洞
weixin_68547367的博客
01-04 1281
fastjson是一个Java语言编写的高性能且功能完善的JSON库,它采用一种“假定有序快速匹配”的算法,把JSON Parse的性能提升到了极致,它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。在网络传输的过程中,RMI中的对象是通过序列化方式进行编码传输的,这意味着,RMI在接收到经过序列化编码的对象后进行反序列化java.io.Serializable:表示序列化,是一个空接口,也就是说这个接口没有声明任何的方法,所以实现这个接口的类也就不需要实现任何的方法
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
反序列化函数绕过
since_2020的博客
08-05 686
__wakeup()方法绕过 函数作用: 与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。 绕过方法: 当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。 <?php class Name{ private $username = 'admin'; private $password = 100; } $a = new Name(); $str = seria
fastjson反序列化漏洞
最新发布
qq_73792226的博客
08-15 664
Fastjson是阿里巴巴公司开源的一款高性能的Java语言JSON处理库,广泛应用于Web开发、数据交换等领域。然而,由于Fastjson在解析JSON数据时存在安全漏洞,攻击者可以利用该漏洞执行任意代码,导致严重的安全威胁。Fastjson反序列化漏洞是一个严重的安全问题,需要引起足够的重视。开发者应该及时关注安全公告,升级Fastjson版本,并加强输入验证和安全管理。同时,用户也应关注系统安全,定期进行安全审计和监控,以确保系统的安全性。
java反序列化操作 可以绕过对象_Weblogic 反序列化漏洞(CVE-2018-2628)漫谈
weixin_30419759的博客
02-28 309
[AppleScript] 纯文本查看 复制代码public class JRMPClient2 extends PayloadRunner implements ObjectPayload {public Activator getObject ( final String command ) throws Exception {String host;int port;int sep = co...
java反序列化
yanyuan904的专栏
04-13 1481
  之前介绍过java内置的序列化,今天总结下java反序列化,主要介绍一点吧,它是怎么跳过构造函数生成对象的,当然跳过不是故意的,因为它本身实现就没依赖构造函数。比如我们定义了一个private的构造函数的bean,它序列化后的数据仍然可以反序列化出来。总之吧,反序列化不会触发构造函数的逻辑。   反序列化时调用链: objectInputStream.readObject()-&gt; ...
Java对象反序列化操作
实践求真知
07-21 426
一代码 import java.io.File; import java.io.FileInputStream; import java.io.InputStream; import java.io.ObjectInputStream; public class SerDemo02 { public static void main(String[] args) throws Ex...
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
2. 利用Fastjson反序列化漏洞实现文件读取:黑客可以构造一个恶意JSON字符串,通过Fastjson反序列化漏洞实现文件读取操作。 3. 利用Fastjson反序列化漏洞实现反弹Shell:黑客可以构造一个恶意JSON字符串,通过...
Fastjson反序列化漏洞原理与复现_fastjson反序化漏洞解决(1)
m0_60575487的博客
04-07 711
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
java超大文本反序列化_fastjson处理超大对象和超大JSON文本
weixin_34017901的博客
02-26 1065
当需要处理超大JSON文本时,需要Stream API,在fastjson-1.1.32版本中开始提供Stream API。来看一下示例代码:示例对象:package json.fastjson.StreamApi;import java.util.HashMap;import java.util.Map;public class VO {private int id;private Map at...
java反序列化 构造函数_在Java反序列化时是否调用对象中的构造函数?
weixin_42322512的博客
02-16 2120
Java中,序列化是一个概念,通过它我们可以将对象的状态写入字节流,以便我们可以通过网络(使用JPA和RMI等技术)传输它。序列化对象-确保该类实现了Serializable接口。创建一个FileOutputStream对象,该对象表示要将对象存储到的文件的文件(抽象路径)。通过传递上面创建的FileOutputStream对象来创建ObjectOutputStream 对象。使用writeOb...
java能不能通过构造函数创建对象_跳过构造函数创建 Java 对象(测试)
weixin_40000999的博客
02-23 1251
如果一个 Java类在初始化时会有外部依赖,这就给单元测试创建它的实例时造成困难。当然被测试类可以改造为依赖全部构造时注入或创建实例后延迟注入,这里不考虑这种改造。来说下面的例子public class OrderService {private PriceInquiry priceInquiry = new PriceInquiry();.........public double total...
渗透测试-PHP反序列化绕过
cdyunaq的博客
04-26 4513
最简单的反序列化 require_once('flag.php'); highlight_file(__FILE__); classA{ private$user='test'; function__destruct(){ ...
java对象的序列化与反序列化
qq_34117495的博客
09-19 311
IO——对象的序列化和反序列化 一、概念 1、对象序列化,就是将Object转换成byte序列,反之叫对象反序列化 2、序列化流(ObjectOutputStream),字节的过滤流 —— writeObject()方法 反序列化流(ObjectInputStream)—— readObject()方法 3、序列化接口(Serializable) 对象必须实现序列化接口,才能进行序列
JAVA序列化与反序列化
u013190513的博客
06-21 768
我们在创建对象时,只要你需要,对象会一直存在,但是当程序终止时,无论如何它都不会继续存在。但仍然存在某些情况,需要在程序结束后仍保存其信息,比如某个程序中有关用户偏好设置的对象,我们希望在程序结束时这些信息也继续存在,当重新启动程序时,可以直接直接获得该对象来进行初始化。如果在语言层面能将对象声明是“持久性”的,并自动为我们处理实现细节,那将是非常方便的。 Java对象序列化是将那些实现
java 序列化 构造函数_Java反序列化时是否通过默认构造函数创建对象
weixin_42522857的博客
02-16 366
问题背景今天在解决一个对象的持久化问题时,需要用到序列化技术。一开始,我想用 fastjson,但是麻烦的是这个框架是基于 getter 方法来序列化对象的,可是我序列化的对象不是一个标准的 Java Bean 对象,没有 getter/setter 方法。而我的需求是根据字段(类成员变量)来序列化对象。然后我就想到了使用 Java 序列化技术,并且配合使用 transient 屏蔽不需要参与序列...
序列化与反序列化——作为Java开发,应该避开这些坑
程序员小明1024
02-11 230
文章目录 1.序列化与反序列化的概念 2.子类实现Serializable接口,父类没有实现,子类可以序列化吗? 3.类中存在引用对象,这个类对象在什么情况下可以实现序列化? 4.同一个对象多次序列化之间有属性更新,前后的序列化有什么区别? 1.序列化与反序列化的概念 先说说序列化和反序列化的概念 序列化:将对象写入到IO流中 反序列化:从IO流中恢复对象 Serializ...
PHP序列化及反序列化绕过
qq_46041723的博客
11-18 3496
序列化和反序列化绕过前言序列化和反序列化序列化反序列化反序列化绕过ctf题目实例 前言 本菜鸡本着菜死人不偿命的觉悟,接着迈向了ctf的世界。 废话不多说,今天来谈一下PHP的序列化和反序列化还有一些绕过姿势 序列化和反序列化 序列化 在PHP里面存在一个serialize方法来实现序列化功能。 Serializable { /* 方法 */ abstract public serialize ( ) : string abstract public unserialize ( string $seria
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值