清晰易懂java反序列化漏洞简介

最新推荐文章于 2024-06-03 10:50:40 发布
最新推荐文章于 2024-06-03 10:50:40 发布
阅读量7.7k 收藏 15
点赞数 3
文章标签: java 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56606020/article/details/123537034
版权

Java反序列化漏洞

序列化与反序列化:

序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化 

序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程

反序列化即逆过程,由字节流还原成对象

字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。

作用: 

  1. 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;
  2. 2.在网络上传送对象的字节序列。

应用场景:

在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便减轻内存压力或便于长期保存。

比如最常见的是Web服务器中的Session对象,当有 10万用户并发访问,就有可能出现10万个Session对象,内存可能吃不消,于是Web容器就会把一些seesion先序列化到硬盘中,等要用了,再把保存在硬盘中的对象还原到内存中。

 

对象序列化包括如下步骤:

1创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流;

2通过对象输出流的writeObject()方法写对象。

  对象反序列化的步骤如下:

1创建一个对象输入流,它可以包装一个其他类型的源输入流,如文件输入流;

2通过对象输入流的readObject()方法读取对象。

漏洞原因

我们既然已经知道了序列化与反序列化的过程,那么如果反序列化的时候,这些即将被反序列化的数据是我们特殊构造的呢!

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

漏洞触发场景

在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:

HTTP请求中的参数,cookies以及Parameters。

RMI协议,被广泛使用的RMI协议完全基于序列化

JMX 同样用于处理序列化对象

自定义协议 用来接收与发送原始的java对象

漏洞查找方式

反序列化输入点

首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:

源码审计:寻找可以利用的“靶点”,即确定调用反序列化函数readObject的调用地点。

对该应用进行网络行为抓包,寻找序列化数据,如wireshark,tcpdump等

java序列化的数据一般会以标记(ac ed 00 05)开头,base64编码后的特征为rO0AB。

再考察应用的Class Path中是否包含Apache Commons Collections库

生成反序列化的payload,最后提交我们的payload数据

序列化常用工具

ysoserial是一个生成序列化payload数据的工具。当中针对Apache Commons Collections 3的payload也是基于TransformedMap和InvokerTransformer来构造的,然而在触发时,并没有采用上文介绍的AnnotationInvocationHandler,而是使用了java.lang.reflect.Proxy中的相关代码来实现触发。此处不再做深入分析,有兴趣的读者可以参考ysoserial的源码。

下载地址

https://github.com/frohoff/ysoserial/releaseswget 

https://github.com/frohoff/ysoserial/releases/download/v0.0.2/ysoserial-0.0.2-all.jar

生成payload常用指令

java -jar ysoserial-0.0.4-all.jar CommonsCollections1 '想要执行的命令' > payload.out

漏洞分析

引发:如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

原因: 类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。

CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法

根源:Apache Commons Collections允许链式的任意的类函数反射调用

问题函数:org.apache.commons.collections.Transformer接口

利用:要利用Java反序列化漏洞,需要在进行反序列化的地方传入攻击者的序列化代码。

思路:攻击者通过允许Java序列化协议的端口,把序列化的攻击代码上传到服至于如何使用这个漏洞对系统发起攻击,举一个简单的思路,通过本地java程序将一个带有后门漏洞的jsp(一般来说这个jsp里的代码会是文件上传和网页版的SHELL)序列化,

将序列化后的二进制流发送给有这个漏洞的服务器,服务器会反序列化该数据的并生成一个webshell文件,然后就可以直接访问这个生成的webshell文件进行进一步利用。

1024zz
关注
  • 3
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java序列化/反序列化详解
mingyuli的博客
07-10 906
1、序列化理解主要用于存储对象状态为另一种通用格式,比如存储为二进制、xml、json等等,把对象转换成这种格式就叫序列化,而反序列化通常是从这种格式转换回来。使用序列化主要是因为跨平台和对象存储的需求,因为网络上只允许字符串或者二进制格式,而文件需要使用二进制流格式,如果想把一个内存中的对象存储下来就必须使用序列化转换为xml(字符串)、json(字符串)或二进制(流)2、什么是Java序列化J...
Java反序列化漏洞
MRS_jianai的博客
02-19 689
Java反序列化源码复现
详解Java反序列化漏洞
最新发布
爱玩游戏的黑客的博客
06-03 620
如果需要将某个对象保存到磁盘上或者通过网络传输,那么这个类应该实现 Serializable 接口或者Externalizable接口之一。使用到JDK中关键类 :ObjectOutputStream (对象输出流) 和 ObjectInputStream (对象输入流)ObjectOutputStream 类中:通过使用 writeObject (Object object) 方法,将对象以二进制格式进行写入。ObjectInputStream类中:
Java序列化和反序列化(详解)
热门推荐
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂
java反序列化漏洞基础
02-22 609
近年来反序列化漏洞可谓被大家熟知,尤其是的在JAVA 程序中发现了大量的反序列化漏洞,这种漏洞危害极大,可以直接造成RCE,获取到权限,本人之前对于这个漏洞一致认识很浅薄,甚至对于利用方式和工具都不太清楚,本文是对java语言基础的序列化与反序列化进行学习。
(专题)序列化与反序列化
m0_59619191的博客
10-08 403
1.概念解析及解释 序列化:指把堆内存中的Java对象数据,通过某种方式把对象存储到磁盘文件中或者传递给其他网络的节点(在网络上传输) 反序列化:把磁盘文件中的对象数据或者把网络节点上的对象数据,恢复成Java对象的过程. 为什么要用序列化: 在主方法中,我们可以调用序列化把一个类传入到文件中,不仅可以使用对象的属性,还可以调用其具体的方法,并且与其他方法调用时不冲突 2.操作方法 ObjectOutputStream: 通过writeObject方法...
应用安全:JAVA反序列化漏洞之殇
Andrew_Chenwq的博客
12-11 296
类的名称及serialVersionUID的ObjectStreamClass描述符在序列化对象流的前面位置,且在readObject反序列化时首先会调用resolveClass读取反序列化的类名,所以RASP检测反序列化漏洞时可通过重写ObjectInputStream对象的resolveClass方法获取反序列化的类即可实现对反序列化类的黑名单校验。接下来是两字节的版本号。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
JAVA反序列化漏洞
m0_65096687的博客
05-22 147
一般JAVA进行序列化传输的过程中会使用base64编码或者16进制。java反序列化利用时候可以使用工具 ysoserial。序列化就是将对象的信息状态转为可以存储或传输形式的过程。反序列化就是从存储的数据重新转化为对象的过程。如何判断是否存在JAVA反序列化漏洞。如果发现以下特征的数据传输格式。就可以去尝试反序列化漏洞利用。JAVA中的序列化函数为。JAVA反序列化的函数为。可以生成payload。
Java序列化和反序列化
guanshengg的博客
08-27 626
序列化:把Java内存对象转换为字节序列的过程称为对象的序列化反序列化:把字节序列恢复为Java内存对象的过程称为对象的反序列化
Java高级特性:序列化和反序列化
Stardust_fantasy的博客
04-25 444
序列化是一个用于将对象状态转换为字节流的过程
java安全 反序列化(二)
sechelper的博客
12-07 596
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
(38)【JAVA反序列化漏洞简介、原理、工具、环境、靶场、思路
04-23 3669
【专题】JAVA反序列化
java攻击_【技术分享】如何攻击Java反序列化过程
weixin_29229261的博客
02-12 369
预估稿费:200RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿一、前言现在反序列化(deserialization)漏洞早已不是新鲜事物(如这几处参考资料[1][2][3][4]),但与其他类别漏洞相比,反序列化漏洞的利用过程涉及更多方面的因素。在应邀对客户进行渗透测试时,我成功利用Java反序列化漏洞获得了某台服务器的权限,利用这台服务器,我获得了数十台服务器的roo...
Javaweb安全——反序列化漏洞- CC1链
weixin_43610673的博客
05-24 1176
Common-Collections利用链1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条链子(分别用的TransformedMap和LazyMap构造恶意对象反射链,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值