热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Java反序列化漏洞原理解析(案例未完善后续补充)

序列化与反序列化序列化用途:方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、
序列化与反序列化

序列化用途:方便于对象在网络中的传输和存储


java的反序列化

序列化就是将对象转换为流,利于储存和传输的格式

反序列化与序列化相反,将流转换为对象

例如:json序列化、XML序列化、二进制序列化、SOAP序列化


序列化:java.io.ObjectOutputStream 类中的 writeObject()


该方法把对象序列化,将字节序列写到一个目标输出流中(.ser扩展名)


反序列化:java.io.ObjectInputStream 类中的 readObject()


从输入流中读取字节序列,再将其反序列化为对象


实现Serializable和Externalizable接口的类的对象才能被序列化。


漏洞危害

导致代码执行、文件操作、执行数据库操作等不可控后果


漏洞原理

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。


漏洞发现

存在于 WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 等等

HTTP请求中的参数,COOKIEs以及Parameters。

RMI协议,被广泛使用的RMI协议完全基于序列化

JMX 同样用于处理序列化对象

自定义协议 用来接收与发送原始的java对象


漏洞挖掘

    确定反序列化输入点

    首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:


      源码审计:寻找可以利用的“靶点”,即确定调用反序列化函数readObject的调用地点。

      对该应用进行网络行为抓包,寻找序列化数据,如wireshark,tcpdump等

      黑盒流量分析(可能面试)

      在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:


      (1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;

      (2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;

      以上意味着存在Java反序列化,可尝试构造payload进行攻击。


      黑盒java的RMI

      RMI是java的一种远程对象(类)调用的服务端,默认于1099端口,基予socket通信,该通信实现远程调用完全基于序列化以及反序列化。

      白盒代码审计

      (1)观察实现了Serializable接口的类是否存在问题。

      (2)观察重写了readObject方法的函数逻辑是否存在问题。


    再考察应用的Class Path中是否包含Apache Commons Collections库

    生成反序列化的payload

    提交我们的payload数据



漏洞防御

    类的白名单校验机制:

    实际上原理很简单,就是对所有传入的反序列化对象,在反序列化过程开始前,对类型名称做一个检查,不符合白名单的类不进行反序列化操作。很显然,这个白名单肯定是不存在Runtime的。

    禁止JVM执行外部命令Runtime.exec

    这个措施可以通过扩展 SecurityManager 可以实现。



Java反序列化漏洞原理解析(案例未完善后续补充)的相关教程结束。



推荐阅读
  • 本文探讨了如何通过Service Locator模式来简化和优化在B/S架构中的服务命名访问,特别是对于需要频繁访问的服务,如JNDI和XMLNS。该模式通过缓存机制减少了重复查找的成本,并提供了对多种服务的统一访问接口。 ... [详细]
  • 本文档详细介绍了软通动力Java开发工程师职位的笔试题目,涵盖了Java基础、集合框架、JDBC、JSP等内容,并提供了详细的答案解析。 ... [详细]
  • JavaScript 实现图片文件转Base64编码的方法
    本文详细介绍了如何使用JavaScript将用户通过文件输入控件选择的图片文件转换为Base64编码字符串,适用于Web前端开发中图片上传前的预处理。 ... [详细]
  • 本文探讨了如何在游戏启动画面中移除广告,特别是在游戏数据加载期间(大约5-6秒)广告会短暂显示的问题。通过调整XML布局和代码逻辑,可以实现广告的延迟加载或完全移除。 ... [详细]
  • 序列化概念
    一、概述序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。.NETFramework提供两 ... [详细]
  • Java序列化对象传给PHP的方法及原理解析
    本文介绍了Java序列化对象传给PHP的方法及原理,包括Java对象传递的方式、序列化的方式、PHP中的序列化用法介绍、Java是否能反序列化PHP的数据、Java序列化的原理以及解决Java序列化中的问题。同时还解释了序列化的概念和作用,以及代码执行序列化所需要的权限。最后指出,序列化会将对象实例的所有字段都进行序列化,使得数据能够被表示为实例的序列化数据,但只有能够解释该格式的代码才能够确定数据的内容。 ... [详细]
  • IO流——字符流 BufferedReader / BufferedWriter 进行文件读写
    目录节点流、处理流读文件:BufferedReader的使用写文件:BufferedWriter的使用节点流处理流节点流和处理流的区别和联系字符流Buf ... [详细]
  • 本文总结了近年来在实际项目中使用消息中间件的经验和常见问题,旨在为Java初学者和中级开发者提供实用的参考。文章详细介绍了消息中间件在分布式系统中的作用,以及如何通过消息中间件实现高可用性和可扩展性。 ... [详细]
  • 在Java开发中,如何利用ProcessBuilder类调用外部程序是一个常见的需求。本文将详细介绍ProcessBuilder类的使用方法,并提供示例代码帮助你更好地理解和应用。 ... [详细]
  • 在构建 Caffe 时,可能会遇到与 Protobuf 版本不兼容导致的链接错误。本文将详细介绍这些错误及其解决方案。 ... [详细]
  • wsimport“ ... [详细]
  • Java发布webservice应用并发送SOAP请求调用
    webservice框架有很多,比如axis、axis2、cxf、xFire等等,做服务端和做客户端都可行,个人感觉使用这些框架的好处是减少了对于接口信息的解析,最主要的是减少了对于传递于网络中XML ... [详细]
  • ZSI.generate.Wsdl2PythonError: unsupported local simpleType restriction ... [详细]
  • 本文介绍了关于apache、phpmyadmin、mysql、php、emacs、path等知识点,以及如何搭建php环境。文章提供了详细的安装步骤和所需软件列表,希望能帮助读者解决与LAMP相关的技术问题。 ... [详细]
  • SOA架构理解理解SOA架构,了解ESB概念,明白SOA与微服务的区别和联系,了解SOA与热门技术的结合与应用。1、面向服务的架构SOASOA(ServiceOrien ... [详细]
author-avatar
网族桃源rl
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有