java序列化和反序列化的概念:
序列化:把Java对象转换为字节流的过程。
反序列化:把字节流恢复为Java对象的过程。
对象的序列化主要有两种用途:
把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中:(持久化对象)
在网络上传送对象的字节序列:(网络传输对象)
序列化函数接口:
Java:Serializable Externalizable接口、fastjson、jackson、gson、ObjectInputStream.read、
ObjectObjectInputStream.readUnshared、XMLDecoder.read、ObjectYaml.loadXStream.fromXML、
ObjectMapper.readValue、JSON.parseObject等
PHP:serialize()、 unserialize()
Python:pickle
java序列化特征:
1、java序列化功能特性:
反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘、或DB存储等业务场景。因此审计过程中重点关注这些功能板块。
2、java序列化数据特性:
一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段java序列化的16进制。
3、java序列化出现具体位置:
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(xacXed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含
案例:分析一个java源码是否存在反序列化漏洞
代码:
Main.java:
package SerialTest;
import java.io.Serializable;
public class Main {
public static void main(String[] args) {
// write your code here
}
}
class Person implements Serializable {
private String name;
private int age;
private String sex;
transient private int stuId;
private static int count = 100;
public Person(String name, int age, String sex, int stuId) {
this.name = name;
this.age = age;
this.sex = sex;
this.stuId = stuId;
}
@Override
public String toString() {
return String.format(
"Person{name: %s, age: %d, sex: %s, stuId: %d, count: %d}n",
name, age, sex, stuId, count
);
}
}
SerializableTest.java:
package SerialTest;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
public class SerializableTest {
public static void main(String[] args) throws Exception {
serialPerson();
//Person person = deserialPerson();
//System.out.println(person);
}
/**
* Person对象序列化
* @throws IOException
*/
private static void serialPerson() throws IOException {
Person person = new Person("xiaoheizi", 28, "男", 101);
ObjectOutputStream oos = new ObjectOutputStream(
new FileOutputStream(new File("d:/person.txt"))
);
oos.writeObject(person);
System.out.println("person 对象序列化成功!");
oos.close();
}
/**
* Person对象反序列化
* @return
* @throws Exception
*/
private static Person deserialPerson() throws Exception {
ObjectInputStream ois = new ObjectInputStream(
new FileInputStream(new File("d:/person.txt"))
);
Person person = (Person)ois.readObject();
System.out.println("person 对象反序列化成功!");
//Runtime.getRuntime().exec("calc.exe");
return person;
}
}
先演示java序列化和反序列化过程:
运行代码,将对象序列化后保存在d:/person.txt
查看person.txt文件的16进制编码内容,发现是aced开头的,说明文件数据是经过java序列化的
运行反序列化代码,可以看到序列化的数据被还原了
这个就是java序列化和反序列化过程。
java反序列化漏洞测试:
如果我们可以控制java反序列化时person.txt的内容,就可以将内容修改为java反序列化漏洞的漏洞poc。
说到漏洞poc就不得不介绍一款java反序列化漏洞poc生成工具”Ysoserial“,
在利用java反序列化漏洞时,是要根据java代码使用的库来构造漏洞poc的,
而库分为生态库和第三方组件:
生态库:java的jdk源码自带的
第三方组件:需要用户自己下载添加为库的jar包
java运行Ysoserial工具,可以看到许多payload项目:
后面有组件名称的就是第三方组件
没有组件名称的就是Java自带生态库
查看java源码,发现并没有引用第三方组件,所以poc就只能使用生态库项目来构造
使用URLDNS项目构造poc:
打开dnslog.cn获取地址
Ysoserial工具构造poc,命令:java -jar ysoserial-0.0.6-SNAPSHOT-all.jar URLDNS "http://p8u25z.dnslog.cn" >a.txt
查看工具根目录,成功创建了一个叫a.txt的序列化poc文件,
将文件复制到d盘下
修改java源码反序列化路径,让java反序列化我们构造的poc文件,运行代码
查看dnslog.cn,获取到了访问记录。说明poc文件被执行,java反序列化漏洞存在
总结:
java反序列化漏洞产生原理:攻击者可以控制java反序列化的内容。
原文始发于微信公众号(小黑子安全):java反序列化漏洞(入门)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论