Java反序列化漏洞
目录
序列化与反序列化
定义:内存中的对象与可存储在磁盘上的持久化数据相互转换的过程。
各编程语言都存在:
-
Java: java.io.Serializable接口、fastjson、jackson、gson
-
PHP: serialize()、 unserialize()
-
Python:pickle
Java反序列化过程
1. 对象实例化
• sun.misc.Unsafe#allocateInstance • 通过反射调用构造函数
2. 成员变量还原
• Setter和getter方法
• 通过反射直接设置
• 成员变量的处理(例如:PriorityQueue)
Java反序列漏洞过程
进行readObject(ObjectInputStream var1) 获取信息
执行for循环语句
获取类方法
查询Reflection.quickCheckMemberAccess
寻找一个类,通过构造一个对象,使其在被反序列化时能执行到危险(sink)方法。
Shiro 反序列化
Apache Shiro是一个功能强大且易于使用的Java安全框架,它执行身份 验证、授权、加密和会话管理。通过Shiro可以快速、轻松地保护应用 程序。
漏洞概述
rememberMe功能: shiro提供rememberMe功能,通过Cookie记录登录用户的身份认证信息,下次用户无需登录即可访问;
成因:
shiro对rememberMe的Cookie做了序列化-Aes加密-Base64编码,在识别用户身份时,对cookie进行解密并进行反序列化操作。
shiro在1.2.4及之前的版本中,AES密钥是硬编码在代码中,导致攻击者可以构造 恶意对象,并对其序列化-Aes加密-Base64编码,做为Cookie发送,shiro在拿到后 解密反序列化造成代码执行的效果;
org.apache.shiro.mgt.AbstractRememberMeManager#getRememberedPrincipals()
org.apache.shiro.web.mgt.CookieRememberMeManager#getRememberedSerializedIdentity()
Base64编码
Base64.decode(getCookie().readValue(request, response));
org.apache.shiro.mgt.AbstractRememberMeManager#convertBytesToPrincipals()
AES解密
org.apache.shiro.mgt.AbstractRememberMeManager#decrypt()
反序列化
org.apache.shiro.mgt.AbstractRememberMeManager#deserialize()
读取cookie -> base64解码 -> AES解密 -> 反序列化
可以说我们使用Ysoserial(反序列化漏洞利用工具)生成的paylaod需 要经过AES加密 再Base64编码再做为rememberMe cookie值发送
修复建议
https://github.com/apache/shiro/compare/shiro-root-1.2.4...shiro-root-1.2.5
Jackson简介
Jackson是一个开源的Java序列化与反序列化工具,可以将java对象序列化为xml或json格 式的字符串,或者反序列化回对应的对象,由于其使用简单,速度较快,且不依靠除 JDK外的其他库,被众多用户所使用。
Jackson也是Spring MVC默认的json解析库,打开多态之后,jackson会根据json中传入 的类名进行反序列化;相比其他后来开发的json解析库来说,jackson有灵活的API,可以很容易根据需要进行 扩展和定制。
Jackson历史漏洞
在安全研究人员的努力 下,常见库中的gadget越 来越少,危害越来越低;
CVE-2017-7525:RCE
CVE-2017-17485:RCE
CVE-2018-14718:RCE
CVE-2019-12086:任意文件读取
CVE-2019-12384:RCE(要求反序列化后再序列化payload)
CVE-2019-12814:XXE
CVE-2019-14379:RCE (要求反序列化后再序列化)
反序列化过程
对象初始化
1. 调用类的无参初始化方法
2. 调用包含一个基础类型参数的构造函数,并且这个参数可控
对象中成员变量赋值
1. 将json看成key-value对,key与field不一定一一对应。
2. 首先看key是否存在setter方法,如果存在setter方法,则会通过反射调用 setter方法
3. 否则看在这个类中是否存在与key同名的field,如果存在,则通过反射 直接赋值。
4. 否则看是否存在对应的getter方法,且getter的返回值是Collection或者 Map的子类,如果满足这个条件,则会调用这个getter方法
5. 如果以上条件都不满足,则抛出异常
反序列化的source method
Jackson反序列化显式调用的方法
• 仅包含一个基本类型参数的构造函数。
• Setter方法
• 返回值是Collection或者Map的子类的getter方法
反序列化过程中隐式调用的方法
• hashCode
• compare
Jackson反序列化的sink method
命令执行:
• java.lang.reflect.Method#invoke • javax.naming.Context#lookup
• javax.naming.Context#bind
• java.lang.Runtime#exec
• java.lang.ProcessBuilder#ProcessBuilder
文件读取:
-
java.sql.Driver#connect MySQL客户端任意文件读取
-
org.xml.sax.XMLReader#parse
-
javax.xml.parsers.SAXParser#parse
-
javax.xml.parsers.DocumentBuilder#parse
Jackson反序列化漏洞搜索结果
com.mysql.cj.jdbc.NonRegisteringDriver#connect(String, Properties)-->
com.mysql.cj.jdbc.admin.MiniAdmin#MiniAdmin(String, Properties)-->
com.mysql.cj.jdbc.admin.MiniAdmin#MiniAdmin(String)
CVE-2019-12086
com.sun.jndi.toolkit.url.GenericURLContext#lookup(String)-->
javax.naming.InitialContext#lookup(String)-->
com.sun.rowset.JdbcRowSetImpl#connect()-->
com.sun.rowset.JdbcRowSetImpl#setAutoCommit(boolean)
CVE-2017-7525
javax.xml.parsers.SAXParser#parse(InputSource, DefaultHandler)-->
org.mortbay.xml.XmlParser#parse(InputSource)--> 无
org.mortbay.xml.XmlConfiguration#XmlConfiguration(String)
com.sun.xml.internal.fastinfoset.sax.SAXDocumentParser#parse(InputSource)-->
org.apache.xalan.processor.TransformerFactoryImpl#newTemplates(Source)-->
org.jdom.transform.XSLTransformer#XSLTransformer(Source)-->
org.jdom.transform.XSLTransformer#XSLTransformer(String)
CVE-2019-12814