(渗透学习)理解java反序列化漏洞原理---层序渐进

已于 2022-03-17 14:33:20 修改
阅读量4.2k 收藏 35
点赞数 10
分类专栏: 渗透学习 文章标签: java 安全
于 2021-12-31 00:55:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yang1234567898/article/details/122247475
版权

没真正学过java,对很多概念理解的不清晰。所以下面所有都是参考资料结合我自己的理解,可能存在错误。

1、为什么要序列化?

因为只有字节数据才能进行存储和传输,所以为了使对象(如class类)能够存储、传输,就需要将对象转成字节的形式

存储:把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;或者不需要的时候就序列化对象后的数据存入磁盘,需要的时候就反序列还原对象进行调用,如cookie

传输:在网络上传送对象的字节序列,当A想要用B的对象时,那么需要将A对象进行序列化传输给B,B接收之后进行反序列化还原调用,

2、如何序列化和反序列化?

要求:Externalizable接口继承自Serializable接口,只有实现了Serializable和Externalizable接口类的对象才能被序列化,否则抛出异常,如:

class MyObject implements Serializable{}

对象MyObject实现了Serializable接口,可以序列化

序列化:调用ObjectOutputStream类的writeObject方法进行序列化,将对象转成字节,如:

String myObj = "imz";
//打开一个存储序列化数据的文件obj
FileOutputStream fos = new FileOutputStream("object");
//实例ObjectOutputStream对象,并包装一个文件输入流fos,使对象序列化之后存入object文件
ObjectOutputStream os = new ObjectOutputStream(fos);
//将myObj对象序列化,并写入object文件
os.writeObject(myObj);
os.close();

序列化后的数据,存储在object文件中

反序列化:调用ObjectInputStream类的readObject方法,将一串序列化数据通过反序列化还原

//读取object文件中的序列化数据
FileInputStream fis = new FileInputStream("object");
//实例化ObjectInputStream,并传入object中的序列化数据
ObjectInputStream ois = new ObjectInputStream(fis);
//调用readObject方法,将传入的序列化数据进行反序列化还原
Object flag = ois.readObject();
//打印还原之后的对象
System.out.println(flag);
ois.close();

执行之后,打印出原对象,说明反序列化成功

3、序列化数据的特征

java序列化数据16进制:

前两个字节总是以ac ed开头

之后的两个字节是版本号,一般情况是00 05

如果经过base64编码,则开头总是:rO0AB

base64编码后:

在测试过程中,可以通过观察这个序列来确定是java序列化的数据

4、为什么会产生反序列化漏洞

(1)初步理解反序列化漏洞产生 ——— 案例1

  ① 当程序需要接收来自外部的对象时,该对象时经过序列化处理的,那么接收之后就需要进行反序列化处理

  ② 当进行反序列化时就会调用ObjectInputStream类的readObject方法

  ③ 由于当一个类的方法被重写时,就会优先调用重写后的方法

  ④ 如果传入的序列化数据重写了readObject方法,并且重写之后的方法包含恶意的操作,那么就会执行方法里面的代码,构成恶意攻击

  注意:这只是其中的一个案例,类似于PHP反序列化的魔术方法触发。漏洞的危害程度由漏洞自身而定,如远程代码执行

import java.io.*;


class test{
    public static void main(String[] args) throws Exception{
        //定义myObj对象,该对象重新了readObject方法,并调用系统命令打开记事本
        MyObject myObj = new MyObject();
        //序列化myObj对象,并写入object文件
        FileOutputStream fos = new FileOutputStream("object");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        os.writeObject(myObj);
        os.close();
        
        //从object文件中读取数据,并反序列化还原myObj对象
        FileInputStream fis = new FileInputStream("object");
        ObjectInputStream ois = new ObjectInputStream(fis);
        //由于myObj对象重写了readObject方法,所以在调用该方法反序列化时,就触发了myObj对象里面的readObject方法,所以执行了exec命令
        ois.readObject();
        ois.close();
    }
}

class MyObject implements Serializable{
    public String flag;
    //重写readObject()方法
    private void readObject(java.io.ObjectInputStream flag) throws IOException, ClassNotFoundException{
        //执行默认的readObject()方法
        flag.defaultReadObject();
        //执行打开计算器程序命令
        System.out.println("imz");
        Runtime.getRuntime().exec("notepad.exe");
    }
}

成功执行Myobject对象的readObject方法里面的代码

最低0.47元/天 解锁文章
imz丶
关注
  • 10
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
java基础--反序列化漏洞原理
zyer
05-04 4442
原理 根据上篇文章可以了解到,一个类想要实现序列化和反序列化,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列化和反序列化,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列化和反序列化一些外部元素。 其中,如果被序列化的类重写了 writeObject 和 r
(38)【JAVA反序列化漏洞】简介、原理、工具、环境、靶场、思路
04-23 3611
【专题】JAVA反序列化
搭建一个java反序列化靶场(1)
最新发布
2401_84972648的博客
05-15 858
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
JAVA序列化和反序列化漏洞详解(小白必看)
weixin_61638307的博客
03-11 686
Java序列化:将Java对象通过writeObject()方法转换为字节流并写入磁盘中。Java反序列化:将字节流通过readObject()方法读取出来并转换为对象。
Java代码审计——fastjson 1.2.68 反序列化漏洞 FileOutputStream写文件
王嘟嘟的博客
03-25 7529
0x00 前言 反序列化总纲 主要是依赖Java代码审计——fastjson 1.2.68 反序列化漏洞 AutoCloseable 看了这个poc之后,就一直纠结,为啥只有openjdk >= 11才可以用,最后在调试+看了大部分文章之后才终于明白 0x01 环境 这里需要准备两个jdk,一个 1.8 一个11 0x02 环境约束 首先先来看一下Fastjson的构造参数选择: 通过createJavaBeanDeserializer进来 走到JavaBeanInfo.build 这里判断如果不
java序列化与反序列化全讲解
追光者的博客
06-03 1672
java序列化与反序列化全讲解
java反序列化漏洞-验证.rar
06-25
java反序列化漏洞-验证jar
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
在特定版本的MySQL JDBC驱动(如mysql-connector-java 8.0.12)中,存在一个反序列化漏洞,攻击者可以利用这个漏洞执行任意代码,从而对系统造成严重威胁。 #### JDBC简介 JDBC提供了一组接口和类,使得Java应用...
Java-Deserialization-Cheat-Sheet:关于Java反序列化漏洞的备忘单
05-02
面向渗透测试人员和研究人员的备忘单,其中涉及各种Java(JVM)序列化库中的反序列化漏洞。 请使用#javadeser哈希标签进行鸣叫。 表中的内容 json-io(JSON) 杰克逊(JSON) Fastjson(JSON) Genson(JSON) ...
详解PHP序列化和反序列化原理
10-18
本篇文章给大家分享了下PHP反序列化漏洞系列之PHP序列化和反序列化原理的相关知识,有这方面需要的朋友参考学习下吧。
JAVA FileOutputStream写文件覆盖问题
weixin_42602900的博客
01-06 2386
JAVA FileOutputStream写文件覆盖问题
springBoot配置文件中使用${} 注入
liuerchong的博客
07-10 2912
配置文件中使用${} 注入 1.在springboot中使用System.setProperty设置参数 user: user-name: ${username} age: ${age} 配置文件是这种写法,我们可以用System.setProperty来设置参数,System.setProperty相当于一个静态变量,存在内存里面,使用el表达式和@value获取 public static void main(String[] args) { System.setProperty(“username”,
java反序列化漏洞基础
02-22 585
近年来反序列化漏洞可谓被大家熟知,尤其是的在JAVA 程序中发现了大量的反序列化漏洞,这种漏洞危害极大,可以直接造成RCE,获取到权限,本人之前对于这个漏洞一致认识很浅薄,甚至对于利用方式和工具都不太清楚,本文是对java语言基础的序列化与反序列化进行学习
反序列化原理与实例讲解
qq_43395215的博客
05-18 838
博客地址:soliym.top 序列化与反序列化 序列化:把变量转换为课存储或课传输文本结构的过程 反序列化:在合适的时候把序列化后的文本结构转化为原来的变量 将变量对象持久化操作,让其离开内存保存在硬盘中,等到需要的时候,在从硬盘中加载变量对象到内存中,这样就可以大大节约内存地址 意义:序列化和反序列的结合可以轻松的存储和传输数据,我们可以把对象序列化为不同的格式,json、XML、二进制、SOAP等 使用序列化 1、将内存中的类写入文件或者数据库中 2、递归保存对象引用的每一个对象数据 3、分布式对象
WEB安全-PHP反序列化漏洞原理
qq_59350385的博客
04-11 1724
一、漏洞原理 在提及漏洞前,首先要先理解PHP中的serialize()和unserialize()两个函数(由于没有PHP开发基础,请各位大哥指出小弟本文中的错误),serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储,再通过unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的magic function(魔术方法)来构造特定的语句,从而达到控制整个反
PHP反序列化漏洞原理浅谈
wednesday的博客
07-12 774
序列化与反序列化 序列化就是指将数据结构或者对象状态转换成可取用的格式,以便在相同或者不同的计算机中进行数据的传输。 个人理解 就是将一个对象用一串字符表示出来用来进行通信和传输,一个类,里面包含很多方法和变量,不能直接以类这种格式进行传输,不然会传输很多的字符而且也不好识别。所以将类转换成一种固定的格式传输再进行逆向的转换这就是序列化与反序列化。 类比 淘宝上买个桌子,然后怎么送到你手里呢?如果将桌子整个送过来未免也太麻烦了,所以聪明的商家将桌子拆成很多个零部件进行运输,等到了目的地再将其进行组
反序列化漏洞原理和防御方式
热门推荐
wangyuxiang946的博客
07-18 1万+
攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码 问题的根源在于,反序列化时没有对生成的对象类型做限制
PHP反序列化漏洞 CVE-2016
07-28
PHP反序列化漏洞CVE-2016是指在PHP的序列化和反序列化过程中存在的安全漏洞。该漏洞被标记为CVE-2016-7124和CVE-2016-7125。 该漏洞的根本原因是在PHP的反序列化过程中没有对恶意输入进行充分的验证和过滤,导致攻击者可以构造恶意的序列化数据,触发代码执行或者其他不当行为。 攻击者可以通过在恶意序列化数据中注入恶意代码,利用这个漏洞来执行任意代码、绕过访问控制、获取敏感信息等。这种漏洞可能导致严重后果,如服务器被入侵、数据泄露等。 为了修复这个漏洞,PHP开发团队在PHP 7.0.14、PHP 5.6.29和PHP 5.5.38版本中引入了一些安全修复措施,包括对反序列化输入进行验证和过滤,以及增强了一些相关函数的安全性。因此,如果你使用的是PHP的较新版本,那么你可能已经得到了修复。 为了保护自己的应用程序免受这个漏洞的影响,建议你及时更新PHP版本,并确保你的代码对用户输入进行充分的验证和过滤,尽可能避免使用不受信任的反序列化数据。同时,你也可以考虑使用其他安全措施,如输入过滤、安全编码等来增强应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值