序列化是Java提供的一種對象持久化保存的技術(shù)。常規(guī)對象在程序結(jié)束后會被回收，如果想把對象持久保存方便下次使用，需要序列化和反序列化。

序列化有兩個前提：

類必須實現(xiàn)java.io.serializable接口

類所有字段都必須是可序列化的

反序列化漏洞利用原理

1. 利用重寫ObjectInputStream的readObject

重寫ObjectInputStream的readObject方法時，可執(zhí)行惡意代碼。定義一個類，并實現(xiàn)serializable接口：

public class User implementsSerializable {publicString name;public intage;publicString getUserInfo(){return "user name: "+this.name +" age: "+this.age;

}

}

View Code

對這個類進行序列化和反序列化(將序列化對象保存在user.txt中)：

public classSerializeDemo {public static void main(String[] args) throwsIOException, ClassNotFoundException {

User user= newUser();

user.name= "路人";

user.age= 25;try{

FileOutputStream fileOut= new FileOutputStream("user.txt");

ObjectOutputStream out= newObjectOutputStream(fileOut);

out.writeObject(user);

out.close();

fileOut.close();

System.out.println("Serialized done");

}catch(IOException e) {

e.printStackTrace();

}

User user_out= null;

FileInputStream fileInput= new FileInputStream("user.txt");

ObjectInputStream in= newObjectInputStream(fileInput);

user_out=(User) in.readObject();

in.close();

fileInput.close();

System.out.println(user_out.getUserInfo());

}

}

View Code

執(zhí)行結(jié)果：

user類重寫readObject方法，并將惡意代碼寫在重寫方法中：

private void readObject(ObjectInputStream in) throwsIOException, ClassNotFoundException {

in.defaultReadObject();

Runtime.getRuntime().exec("touch hello.txt");

}

View Code

執(zhí)行序列化和反序列化之后，惡意代碼執(zhí)行成功：

2. 利用反射

反射可以越過靜態(tài)檢查和類型約束，在運行期間訪問和修改對象的屬性和狀態(tài)。通過反射機制執(zhí)行惡意代碼。InvokerTransformer可以通過調(diào)用Java的反射機制來調(diào)用任意函數(shù)

public classReflectDemo {public static voidmain(String[] args) {

InvokerTransformer it= newInvokerTransformer("exec",new Class[]{String.class},new Object[]{"open /Applications/Calculator.app/"});

it.transform(java.lang.Runtime.getRuntime());

}

}

View Code

惡意代碼執(zhí)行成功：

但是在實際應(yīng)用中，我們是不能直接把惡意代碼寫在對方的readObject中，或者把Runtime直接從外部傳進去的，所以需要構(gòu)造反射鏈payload來實現(xiàn)反序列化漏洞的利用。具體利用方式參考這篇文章：http://www.mi1k7ea.com/2019/02/06/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/

此外，還有一個叫做ysoserial的開源工具，集合了各種java反序列化payload，下載地址：

上一篇的漏洞利用庫jmet-0.1.0-all.jar就是使用ysoserial生成的Payload。

關(guān)于java反序列化漏洞，咱目前只能理解到這個地步了(java水平有限 ..>_<..>

總結(jié)

以上是生活随笔為你收集整理的java httpinvoker漏洞_Java反序列化漏洞学习的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。