Hessian 反序列化及相关利用链

最新推荐文章于 2024-03-11 17:49:04 发布
最新推荐文章于 2024-03-11 17:49:04 发布
阅读量2.3k 收藏 2
点赞数 1
分类专栏: 晓得哥的技术之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/104577155
版权
作者:Longofo@知道创宇404实验室时间:2020年2月20日原文地址:https://paper.seebug.org/1131/#_2前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apa...
摘要由CSDN通过智能技术生成

作者:Longofo@知道创宇404实验室
时间:2020年2月20日
原文地址:https://paper.seebug.org/1131/#_2

前不久有一个关于Apache Dubbo Http反序列化的漏洞,本来是一个正常功能(通过正常调用抓包即可验证确实是正常功能而不是非预期的Post),通过Post传输序列化数据进行远程调用,但是如果Post传递恶意的序列化数据就能进行恶意利用。Apache Dubbo还支持很多协议,例如Dubbo(Dubbo Hessian2)、Hessian(包括Hessian与Hessian2,这里的Hessian2与Dubbo Hessian2不是同一个)、Rmi、Http等。Apache Dubbo是远程调用框架,既然Http方式的远程调用传输了序列化的数据,那么其他协议也可能存在类似问题,例如Rmi、Hessian等。@pyn3rd师傅之前在twiter发了关于Apache Dubbo Hessian协议的反序列化利用,Apache Dubbo Hessian反序列化问题之前也被提到过,这篇文章里面讲到了Apache Dubbo Hessian存在反序列化被利用的问题,类似的还有Apache Dubbo Rmi反序列化问题。之前也没比较完整的去分析过一个反序列化组件处理流程,刚好趁这个机会看看Hessian序列化、反序列化过程,以及marshalsec工具中对于Hessian的几条利用链。

关于序列化/反序列化机制

序列化/反序列化机制(或者可以叫编组/解组机制,编组/解组比序列化/反序列化含义要广),参考marshalsec.pdf(原文链接地址可下载),可以将序列化/反序列化机制分大体分为两类:

基于Bean属性访问机制
基于Field机制

基于Bean属性访问机制

SnakeYAML
jYAML
YamlBeans
Apache Flex BlazeDS
Red5 IO AMF
Jackson
Castor
Java XMLDecoder

它们最基本的区别是如何在对象上设置属性值,它们有共同点,也有自己独有的不同处理方式。有的通过反射自动调用getter(xxx)setter(xxx)访问对象属性,有的还需要调用默认Constructor,有的处理器(指的上面列出来的那些)在反序列化对象时,如果类对象的某些方法还满足自己设定的某些要求,也会被自动调用。还有XMLDecoder这种能调用对象任意方法的处理器。有的处理器在支持多态特性时,例如某个对象的某个属性是Object、Interface、abstruct等类型,为了在反序列化时能完整恢复,需要写入具体的类型信息,这时候可以指定更多的类,在反序列化时也会自动调用具体类对象的某些方法来设置这些对象的属性值。这种机制的攻击面比基于Field机制的攻击面大,因为它们自动调用的方法以及在支持多态特性时自动调用方法比基于Field机制要多。

基于Field机制

基于Field机制是通过特殊的native(native方法不是java代码实现的,所以不会像Bean机制那样调用getter、setter等更多的java方法)方法或反射(最后也是使用了native方式)直接对Field进行赋值操作的机制,不是通过getter、setter方式对属性赋值(下面某些处理器如果进行了特殊指定或配置也可支持Bean机制方式)。在ysoserial中的payload是基于原生Java Serialization,marshalsec支持多种,包括上面列出的和下面列出的。

Java Serialization
Kryo
Hessian
json-io
XStream

就对象进行的方法调用而言,基于字段的机制通常通常不构成攻击面。另外,许多集合、Map等类型无法使用它们运行时表示形式进行传输/存储(例如Map,在运行时存储是通过计算了对象的hashcode等信息,但是存储时是没有保存这些信息的),这意味着所有基于字段的编组器都会为某些类型捆绑定制转换器(例如Hessian中有专门的MapSerializer转换器)。这些转换器或其各自的目标类型通常必须调用攻击者提供的对象上的方法,例如Hessian中如果是反序列化map类型,会调用MapDeserializer处理map,期间map的put方法被调用,map的put方法又会计算被恢复对象的hash造成hashcode调用(这里对hashcode方法的调用就是前面说的必须调用攻击者提供的对象上的方法),根据实际情况,可能hashcode方法中还会触发后续的其他方法调用。

Hessian简介

Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且Hessian的JAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。本文主要讲解Hessian的序列化/反序列化。

下面做个简单测试下Hessian Serialization与Java Serialization:

//Student.java
import java.io.Serializable;

public class Student implements Serializable {
   
    private static final long serialVersionUID = 1L;
    private int id;
    private String name;
    private transient String gender;

    public int getId() {
   
        System.out.println("Student getId call");
        return id;
    }

    public void setId(int id) {
   
        System.out.println("Student setId call");
        this.id = id;
    }

    public String getName() {
   
        System.out.println("Student getName call");
        return name;
    }

    public void setName(String name) {
   
        System.out.println("Student setName call");
        this.name = name;
    }

    public String getGender() {
   
        System.out.println("Student getGender call");
        return gender;
    }

    public void setGender(String gender) {
   
        System.out.println("Student setGender call");
        this.gender = gender;
    }

    public Student() {
   
        System.out.println("Student default constractor call");
    }

    public Student(int id, String name, String gender) {
   
        this.id = id;
        this.name = name;
        this.gender = gender;
    }

    @Override
    public String toString() {
   
        return "Student(id=" + id + ",name=" + name + ",gender=" + gender + ")";
    }
}

//HJSerializationTest.java
import com.caucho.hessian.io.HessianInput;
import com.caucho.hessian.io.HessianOutput;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class HJSerializationTest {
   
    public static <T> byte[] hserialize(T t) {
   
        byte[] data = null;
        try {
   
            ByteArrayOutputStream os = new ByteArrayOutputStream();
            HessianOutput output = new HessianOutput(os);
            output.writeObject(t);
            data = os.toByteArray();
        } catch (Exception e) {
   
            e.printStackTrace();
        }
        return data;
    }

    public static <T> T hdeserialize(byte[] data) {
   
        if (data == null) {
   
            return null;
        }
        Object result = null;
        try {
   
            ByteArrayInputStream is = new ByteArrayInputStream(data);
            HessianInput input = new HessianInput(is);
            result = input.readObject();
        } catch (Exception e) {
   
            e.printStackTrace();
        }
        return (T) result;
    }

    public static <T> byte[] jdkSerialize(T t) {
   
        byte[] data = null;
        try {
   
            ByteArrayOutputStream os = new ByteArrayOutputStream();
            ObjectOutputStream output = new ObjectOutputStream(os);
            output.writeObject(t);
            output.flush();
            output.close();
            data = os.toByteArray();
        } catch (Exception e) {
   
            e.printStackTrace();
        }
        return data;
    }

    public static <T> T jdkDeserialize(byte[] data) {
   
        if (data == null) {
   
            return null;
        }
        Object result = null;
        try {
   
            ByteArrayInputStream is = new ByteArrayInputStream(data);
            ObjectInputStream input = new ObjectInputStream(is);
            result = input.readObject();
        } catch (Except
最低0.47元/天 解锁文章
晓得哥
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hessian 序列化、反序列化
字节跳动技术团队官方博客
08-05 4933
动手点关注干货不迷路????背景问题和思考:序列化参数有枚举属性,序列化端增加一个枚举,能否正常反序列化?序列化子类,它和父类有同名参数,反序列化时,同名参数能否能正常赋值?序列化对象增加参数,反序列化类不增加参数,能否正常反序列化?用于序列化传输的属性,用包装器比较好,还是基本类型比较好?为什么要使用序列化和反序列化程序在运行过程中,产生的数据,不能一直保存在内存中,需要暂...
Hessian 反序列化及XXL-JOB
zkaqlaoniao的博客
11-29 888
我们经常在CTF里见到Java反序列化的题,而如何从CTF过渡到实战中是一个坎儿,今天就说一次在实战中遇到的不出网Hessian反序列化问题。文章所有内容无敏感信息,均为本地环境,只做思路分享。
hessian学习基础篇——序列化和反序列化
hck341204的专栏
03-12 425
1、概念介绍 把Java对象转换为字节序列的过程称为对象的序列化。 把字节序列恢复为Java对象的过程称为对象的反序列化。 对象的序列化主要有两种用途:   1) 数据介质存储   2) 数据网络传输 2、对象序列化实例 为了更好的理解hessian的序列化机制,所以把java和hessian的对象序列化实例都一一列出。 ...
【Web】浅聊Java反序列化之玩转Hessian反序列化的前置知识
最新发布
uuzeray的博客
03-11 1339
当其Hessian反序列化Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用打法。
Hessian 序列化,反序列
u014646588的博客
07-11 565
把Java对象转换为字节序列的过程称为对象的序列化。 把字节序列恢复为Java对象的过程称为对象的反序列化。对象的序列化主要有两种用途: 1)数据介质的存储 2)数据网络传输Hessian 实现运程通信的 Library Hessian 是由 caucho 提供的一个基于 binary-RPC 实现的远程通讯 library 。1 、是基于什么协议实现的? 基于 Binary-RPC 协议
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
Hessian 的字段序列化小记
04-06
在IT行业中,序列化是一个非常重要的概念,...理解和掌握Hessian序列化机制,有助于我们更好地利用这一技术提高系统的效率和可维护性。通过深入研究源码,我们可以进一步挖掘其潜力,并根据具体需求进行定制和优化。
java常见的序列化方式
09-01
Hessian序列化不包含Java序列化那么多元数据,它主要关注数据本身,通过简单的类型描述和数据内容来序列化对象。例如,对于基本类型的Integer对象,Hessian会将其表示为'I'开头的字节流,后面跟着实际的数值。 ...
hessian轻量级 rpc实现
12-27
3. 调用:通过代理对象调用服务接口的方法,Hessian会自动完成网络通信和序列化/反序列化操作。 五、示例——rpc4j-sample-web "rpc4j-sample-web"这个压缩包文件很可能是Hessian RPC的一个示例项目。通常,它会...
利用hessian进行系统通信实例教程
10-15
在IT行业中,系统间的通信是不可或缺的一部分,尤其是在分布式系统架构中。Hessian是一种二进制的RPC(远程过程...在实际项目中,你还可以根据需要对安全性、性能等方面进行优化,比如添加认证机制、调整序列化策略等。
Hessian序列化实例
feinifi的博客
07-12 4530
Hessian也是一种可以做序列化的工具,他也支持多语言,这里介绍java中做序列化的示例。Hessian序列化和jdk自带的序列化,思路基本一样,只不过Hessian序列化之后,字节数更小,性能更优。另外Hessian提供了两套api,默认是hessian,也提供了一个升级版本的hessian2的序列化api,从名字上看,hessian2应该是序列化性能更优,如果使用Hessian做序列化,推荐...
『Java安全』反序列化-浅析Hessian反序列化POP
Ho1aAs‘s Blog
07-22 1121
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 844
Hessian反序列化漏洞学习记录
序列化工具-hessian-序列化和反序列化用法
撸起袖子加油干
01-14 1294
一、环境依赖: <dependency> <groupId>com.caucho</groupId> <artifactId>hessian</artifactId> <version>4.0.37</version> </dependency> 二、序列化&反序列化: public interface ISerializer { <T> T deseri.
初探Hessian利用为Dubbo-CVE占坑
Q54665642ljf的博客
09-12 317
Hessian 是caucho公司的工程项目,为了达到或超过 ORMI/Java JNI 等其他跨语言/平台调用的能力设计而出,在 2004 点发布 1.0 规范,一般称之为 Hessian ,并逐步迭代,在 Hassian jar 3.2.0 之后,采用了新的 2.0 版本的协议,一般称之为 Hessian 2.0。这是一种动态类型的二进制序列化和Web 服务协议,专为面向对象的传输而设计。
nacos 2.2.2 反序列化
weixin_45805993的博客
09-19 790
漏洞描述 Nacos在处理某些基于Jraft的请求时,采用Hessian进行反序列化,但并未设置限制,导致应用存在远程代码执行(RCE)漏洞。 触发点分析 https://github.com/alibaba/nacos/pull/10542/files 可以看出来是SerializerFactory的锅 定位 src/main/java/com/alibaba/nacos/consistency/serialize/HessianSerializer.java 使用类为com/alibaba/nacos/
使用Hessian进行序列化和反序列化
许我笔墨三千绘你绝世倾城
05-28 1818
这东西没啥可说的直接上代码: /** * 这是讲object序列化 * @param obj * @return */ public static byte[] serialization(Object obj){ if(obj==null){ throw new NullPointerException(); } ByteArrayOutputStream o...
java hessian序列化与反序列化_Hessian 序列化和反序列化实现
weixin_36262567的博客
02-24 545
先聊聊 Java的序列化,Java官方的序列化和反序列化的实现被太多人吐槽,这得归于Java官方序列化实现的方式。1、Java序列化的性能经常被吐槽。2、Java官方的序列化后的数据相对于一些优秀的序列化的工具,还是要大不少,比如probuf,这大大影响存储和传输的效率。3、Java序列化一定需要实现Serializable接口4、Java序列化的serialVersionUID 也是个大坑另外...
hessian反序列化漏洞
01-06
Hessian是一种基于Java的轻量级的远程调用协议,用于实现不同语言之间的通信。而Hessian反序列化漏洞是指在Hessian协议中,由于不充分的输入验证或者对用户输入数据的不完全信任,导致攻击者可以利用恶意构造的序列化数据,执行远程代码。这种漏洞在实际应用中可能会导致严重的安全问题,例如远程命令执行、拒绝服务等。 Hessian反序列化漏洞的出现与序列化和反序列化机制有关。在Java中,对象可以被序列化成字节流,然后通过网络传输到另一个系统或者磁盘中,之后再进行反序列化还原成原始对象。如果反序列化过程中未对字节流进行充分的验证,恶意用户可以构造特定的字节流,以实现执行恶意代码的目的。 为了防范Hessian反序列化漏洞,开发人员应该对用户输入进行完全的信任验证,采取严格的输入验证,禁止远程代码执行。另外,可以采用安全的序列化与反序列化机制,例如对序列化的数据进行数字签名或者加密,以确保数据的完整性和安全性。 在应对Hessian反序列化漏洞时,开发团队应该及时更新相关的安全补丁,对可能存在漏洞的系统进行全面审查,修复潜在的安全问题,同时也应做好监控和日志记录工作,及时发现并应对可能的攻击行为。保护系统安全需要全员的努力,包括开发人员、安全专家和运维团队,共同为系统的安全稳定保驾护航。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值