反序列化漏洞_WEB漏洞 JAVA 反序列化

最新推荐文章于 2023-10-10 18:35:12 发布
最新推荐文章于 2023-10-10 18:35:12 发布
阅读量211 收藏
点赞数
文章标签: 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39814378/article/details/111334101
版权

5dc51118d6e44690a33f241d32fd2a55.png

#序列化和反序列化

序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。

反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。

  • Java反序列化及命令执行代码测试

  1. 在IDE创建一个package包,包名为SerialTest

  2. 包中创建三个类文件 Main  Person  SerializableTest

Main文件代码

// 执行DOS命令

package SerialTest;import java.io.BufferedReader;import java.io.IOException;import java.io.InputStreamReader;import java.nio.charset.Charset;public class Main {    public static void main(String args[]) throws IOException, InterruptedException {        Process p = Runtime.getRuntime().exec("ipconfig");        java.io.InputStream is = p.getInputStream();        BufferedReader reader = new BufferedReader(new InputStreamReader(is, Charset.forName("GBK")));        p.waitFor();        if (p.exitValue() != 0){            // 命令执行失败 进入错误处理步骤中        }        String s = null;        while ((s = reader.readLine()) != null){            System.out.println(s);        }    }}

Person 文件  

// 待调用类

package SerialTest;import com.sun.xml.internal.ws.server.ServerRtException;import java.io.Serializable;class Person implements Serializable {    private String name;    private int age;    private String sex;    private int height;    public Person(){        this.name = null;        this.age = 0;        this.sex = null;        this.height = 0;    }    public Person(String name,int age,String sex,int height){        this.name = name;        this.age = age;        this.sex = sex;        this.height = height;    }    public   String toString(){        return "Persion{" +                "name=" + name +                ", age=" + age +                ", sex=" + sex +                ", height=" + height +                "}";    }}

SerializableTest 文件

// 序列化

package SerialTest;import java.io.*;public class SerializableTest {    public static void main(String[] args) throws Exception {        serialPerson();        Person person = deserialPerson();        System.out.println(person);    }    /**     * Person 对象序列化     * @throws IOException     */    private static void serialPerson() throws IOException{        Person person = new Person("阿杰",20,"男",175);        ObjectOutputStream oos = new ObjectOutputStream(                new FileOutputStream(new File("F:/person.txt"))        );        oos.writeObject(person);        System.out.println("person 对象序列化成功!");        oos.close();    }    /**     * Person 对象反序列化     * @return     * @throws Exception     */    private static Person deserialPerson() throws Exception {        ObjectInputStream ois = new ObjectInputStream(                new FileInputStream(new File("F:/person.txt"))        );        Person person = (Person)ois.readObject();        System.out.println("person 对象反序列化成功!");        return person;    }}

0f972fa46ad3a9b4375af7074d6bd181.png

0a8dab2f4606c130a94541e2fb167eaf.png

代码分析

java中 在ObjectOutputStream类中 有一个writeObject()方法 把指定的对象进行序列化后把字节序列写到一个目标输出流中ObjectInputStream类中 readObject()方法 从一目标输入流中读取字节序列进行反序化成一个对象 再把结果返回代码中定义了一个person类 类中含有成员属性 使用writeObject()方法 把对象序列化写进一个文本里 然后在使用readObject() 方法 从文件中读取字节序列 在还原成源对象

目前没有此文件 运行后

fe41b343b64a358e374232f5aa93eea7.png

cf229ccfeeafe5865a2b7ab43cb8f645.png

写入文件中的是字节序列 通过readObject()方法 再将对象还原。

如果对象不是字符串 而是一些命令 则反序列化后 利用java exec命令函数进行执行 就会产生命令执行漏洞。

在Web应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。php(system()、shell_exec()、exec()、eval())JAVA中的命令执行漏洞(struts2/ElasticsearchGroovy等)ThinkPHP命令执行

比如下图:

执行了ipconfig系统命令

b56b0d879c858bbb006c39488e62fb5d.png

  • WebGoat_Javaweb靶场反序列化测试

资料链接:

https://github.com/frohoff/ysoserial/releases

https://github.com/WebGoat/WebGoat/releases

cmd  输入 java -jar  webgoat-server-8.0.1.jar

注:JDK8 无法运行 版本较低 安装11以上的版本

浏览器输入 127.0.0.1:8080/WebGoat   

注册一个账号即可

fea0fd21293146dc1572f92f35859024.png

48b0783650371ea03a4c7ade0f7b2194.png

部分源码示例

public static Object fromString(String s)    throws IOException, ClassNotFoundException{    byte[] data = Base64.getDecoder().decode(s);    ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(data));        Object o = ois.readObject();    ois.close();    return o;  }    public static String toString(Serializable o)    throws IOException{    ByteArrayOutputStream baos = new ByteArrayOutputStream();    ObjectOutputStream oos = new ObjectOutputStream(baos);    oos.writeObject(o);    oos.close();    return Base64.getEncoder().encodeToString(baos.toByteArray());  }

将对象序列化后 进行base64加密 变成了图片中的一堆字符

rO0ABXQAVklmIHlvdSBkZXNlcmlhbGl6ZSBtZSBkb3duLCBJIHNoYWxsIGJlY29tZSBtb3JlIHBvd2VyZnVsIHRoYW4geW91IGNhbiBwb3NzaWJseSBpbWFnaW5l

字符串    ——>  字节序列   序列化  writeObject()

字节序列  ——>  字符串     反序列化  readObject()

9df81596c0f168aa0a7de90502f55a2c.png


如何构造payload?

calc  ---->  序列化  ---->  base64加密=rO0AB格式开头的字符串  

java -Dhibernate5 -cp hibernate-core-5.4.9.Final.jar;ysoserial-master-30099844c6-1.jar ysoserial.GeneratePayload Hibernate1 calc.exe > payload.bin

437f9141bc1967e8b9c8a478ea1f8b79.png

weixin_39814378
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
演示案例:Java 反序列化及命令执行代码测试WebGoat_Javaweb 靶场反序列化测试0x01 注入判断,获取管理员帐号密码:根据提示附件进行 java
JAVA反序列化(还是不太懂)
m0_48907714的博客
04-25 3310
JAVA反序列化 函数 序列化writeObject 反序列化readObject() 序列化和反序列化 序列化 将对象的状态信息转换为可以存储或者传输的过程 。在序列化期间,对象将其当前状态写入到临时或持久性存储区 反序列化从存储区读取数据,比起能够将其还原为对象的过程 演示 一、序列化和反序列化 在写反序列化时报错readObject()函数不存在,所以本人只弄成了序列化 直接上java代码 首先需要一个User类,这个就不上传代码了,我的代码会在桌面的1.txt文件中写入序列化后内容 impor
搭建一个java反序列化靶场
热门推荐
leeezp的博客
09-09 32万+
java反序列化漏洞研究需要。搭建一个java反序列化靶场。
WebGoat JAVA反序列化漏洞分析复现
leah126的博客
03-09 574
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。为此写了加密的小工具。进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
WebGoat8.2.2-A8不安全的反序列化
weixin_45032957的博客
12-02 538
1、概念 使用反序列化在各编程语言中略有不同,如Java、PHP、Python、Ruby、C/C++等等,但在关键概念上是一样的 序列化:将(内存中的)对象转化成数据格式,以便存储或传输 反序列化:即序列化的反过程,从某种格式的数据中构建对象 如今最受欢迎的序列化数据格式是JSON,而在这之前是XML,只有数据是序列化的,而代码本身不是 2、Native Serialization-本地序列化/客制序列化 一些编程语言提供了自己的序列化功能,所使用的数据格式比一般的JSON或XML拥有更多的特性和功能,甚至
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen,里面的 jar 直接运行即可,用于 shiro 漏洞检测、修复验证等
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
java反序列化
weixin_52221158的博客
08-17 758
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
代码审计之WEBGOAT 反序列化
weixin_43263451的博客
06-11 934
反序列化这关在前端页面可以看到是提交token到后端,先看一下接口名可以看到接口名为InsecureDeserialization/task,那就后端全局搜索InsecureDeserialization/task,最终定位到InsecureDeserializationTask.java源码如下: ​ 可以看到大概就是对输入的token先base64解码然后输入到字节数组输入流中然后再接到对象输入流,并利用readObject进行反序列化操作得到对象o,然后判断该对象是否属于VulnerableTask
Java反序列化漏洞及实例详解
ran的博客
04-15 3205
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
三、Web漏洞-反序列化
weixin_70557959的博客
05-11 3541
37、WEB漏洞-反序列化之PHP(上) 原理 PHP 反序列化原理: 1.未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行,SQL 注入,目录遍历等不可控后果。 2.其实跟文件解析差不多,都是由于传递的恶意参数被执行(序列化和反序列化相当于加解密过程) 3.在反序列化的过程中自动触发了某些魔术方法。当进行反序列化的时候就有可能会触发对象中的一些魔术方法。 ---序列化函数:serialize() //将一个对象转换成一个字符串 ...
Fastjson反序列化漏洞(靶场搭建复现)
最新发布
hovcfuti的博客
10-10 530
首先,Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@type”指定反序列化的类型,其次,Fastjson自定义的反序列化机制时会调用指定类中的setter方法及部分getter方法,那么当组件开启了autotype功能并且反序列化不可信数据时,攻击者可以构造数据,使目标应用的代码执行流程进入特定类的特定setter或者getter方法中,若指定类的指定方法中有可被恶意利用的逻辑(也就是通常所指的“Gadget”),则会造成一些严重的安全问题。
反序列化漏洞靶场练习,漏洞复现
haozhe6666的博客
08-11 192
Apache Shiro是一款开源企业常见JAVA安全框架,此框架提供了RememberMe的功能,这是很多网站 都具备的,例如你登录了一个网站,关掉浏览器再次打开网站时,网站会保留你的登录信息情况。shiro默认使用了CookieRememberMeManager函数,其处理cookie的流程是:得到rememberMe的 cookie值–>Base64解码–>AES解密–>反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞
(38)【JAVA反序列化漏洞】简介、原理、工具、环境、靶场、思路
04-23 3495
【专题】JAVA反序列化
fastjson反序列化漏洞_Fastjson反序列化漏洞的检测和利用
05-21
2. 禁止使用Fastjson反序列化:如果应用程序中不需要使用Fastjson反序列化功能,建议禁止使用该功能,可以使用其他JSON处理器。 3. 输入验证:对所有输入进行校验和过滤,确保输入数据符合预期,避免恶意数据进入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值