java httpinvoker漏洞_Java反序列化漏洞学习
序列化是Java提供的一種對象持久化保存的技術。常規對象在程序結束后會被回收,如果想把對象持久保存方便下次使用,需要序列化和反序列化。
序列化有兩個前提:
類必須實現java.io.serializable接口
類所有字段都必須是可序列化的
反序列化漏洞利用原理
1. 利用重寫ObjectInputStream的readObject
重寫ObjectInputStream的readObject方法時,可執行惡意代碼。定義一個類,并實現serializable接口:
public class User implementsSerializable {publicString name;public intage;publicString getUserInfo(){return "user name: "+this.name +" age: "+this.age;
}
}
View Code
對這個類進行序列化和反序列化(將序列化對象保存在user.txt中):
public classSerializeDemo {public static void main(String[] args) throwsIOException, ClassNotFoundException {
User user= newUser();
user.name= "路人";
user.age= 25;try{
FileOutputStream fileOut= new FileOutputStream("user.txt");
ObjectOutputStream out= newObjectOutputStream(fileOut);
out.writeObject(user);
out.close();
fileOut.close();
System.out.println("Serialized done");
}catch(IOException e) {
e.printStackTrace();
}
User user_out= null;
FileInputStream fileInput= new FileInputStream("user.txt");
ObjectInputStream in= newObjectInputStream(fileInput);
user_out=(User) in.readObject();
in.close();
fileInput.close();
System.out.println(user_out.getUserInfo());
}
}
View Code
執行結果:
user類重寫readObject方法,并將惡意代碼寫在重寫方法中:
private void readObject(ObjectInputStream in) throwsIOException, ClassNotFoundException {
in.defaultReadObject();
Runtime.getRuntime().exec("touch hello.txt");
}
View Code
執行序列化和反序列化之后,惡意代碼執行成功:
2. 利用反射
反射可以越過靜態檢查和類型約束,在運行期間訪問和修改對象的屬性和狀態。通過反射機制執行惡意代碼。InvokerTransformer可以通過調用Java的反射機制來調用任意函數
public classReflectDemo {public static voidmain(String[] args) {
InvokerTransformer it= newInvokerTransformer("exec",new Class[]{String.class},new Object[]{"open /Applications/Calculator.app/"});
it.transform(java.lang.Runtime.getRuntime());
}
}
View Code
惡意代碼執行成功:
但是在實際應用中,我們是不能直接把惡意代碼寫在對方的readObject中,或者把Runtime直接從外部傳進去的,所以需要構造反射鏈payload來實現反序列化漏洞的利用。具體利用方式參考這篇文章:http://www.mi1k7ea.com/2019/02/06/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/
此外,還有一個叫做ysoserial的開源工具,集合了各種java反序列化payload,下載地址:
上一篇的漏洞利用庫jmet-0.1.0-all.jar就是使用ysoserial生成的Payload。
關于java反序列化漏洞,咱目前只能理解到這個地步了(java水平有限 ..>_<..>
總結
以上是生活随笔為你收集整理的java httpinvoker漏洞_Java反序列化漏洞学习的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: java core日志在哪里_java-
- 下一篇: java清除控制台_Java:清除控制台