java反序列化自动化挖掘_java反序列化原理-Demo(一)

于 2021-03-01 15:09:56 发布
阅读量147 收藏
点赞数
文章标签: java反序列化自动化挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36033929/article/details/114919964
版权

java反序列化原理-Demo(一)

发布时间:2020-07-18 12:21:00

来源:51CTO

阅读:55871

作者:wx5b0b88843cb2a

java反序列化原理-Demo(一)

0x00 什么是java序列化和反序列?

Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。

Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定义一个user类需继承Serializable

package test;

import java.io.IOException;

import java.io.Serializable;

public class user implements Serializable {

private String name;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

}

编写一个测试类,生成一个user对象,将其序列化后的字节保存在硬盘上,然后再读取被序列化后的字节,将其反序列化后输入user的name属性

package test;

import java.io.FileInputStream;

import java.io.FileNotFoundException;

import java.io.FileOutputStream;

import java.io.IOException;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

public class test1 {

public static void main(String[] args) {

try {

FileOutputStream out =new FileOutputStream("d:/1.bin");

ObjectOutputStream obj_out = new ObjectOutputStream(out);

user u = new user();

u.setName("test");

obj_out.writeObject(u);

//利用readobject方法还原user对象

FileInputStream in = new FileInputStream("d:/1.bin");

ObjectInputStream ins = new ObjectInputStream(in);

user u1 = (user)ins.readObject();

System.err.println(u1.getName());

} catch (FileNotFoundException e) {

// TODO Auto-generated catch block

e.printStackTrace();

} catch (IOException e) {

// TODO Auto-generated catch block

e.printStackTrace();

} catch (ClassNotFoundException e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

}

}

运行后输出name属性:test

769f7151453cede67d95b3721c86357b.png

为了构造一个反序列化漏洞,需要重写user的readObjec方法,在改方法中弹出计算器:

重写readObjec后的user类:

package test;

import java.io.IOException;

import java.io.Serializable;

public class user implements Serializable {

private String name;

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {

in.defaultReadObject();

Runtime.getRuntime().exec("calc.exe");

}

}

55ee248ea1d3824d7d178d96ccfaccca.png

再次运行测试类,发现计算器已经弹出:

23d641a9362ea15efe9de0d520037f96.png

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可执行任意命令

0x02 总结

产生反序列化漏洞的前提是必须重写继承了Serializable类的readObjec方法

参考连接:

http://www.freebuf.com/vuls/170344.html

凯文哥爱分享
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值