目录
一、序列化和反序列化
序列化
用途
二、Java反序列化漏洞
数据出现
函数接口
漏洞发现
漏洞利用
三、Java序列化反序列化演示
四、靶场演示
一、序列化和反序列化
序列化
把 Java 对象转换为字节序列(字节流)的过程。
反序列化
把字节序列(字节流)恢复为 Java 对象的过程。
用途
- 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中(持久化对象)。
- 在网络上传送对象的字节序列(网络传输对象)
二、Java反序列化漏洞
数据出现
1、功能特性:
反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储、对象数
据落磁盘、或 DB 存储等业务场景。因此审计过程中重点关注这些功能板块。
2、数据特性:
一段数据以 rO0AB 开头,你基本可以确定这串就是 JAVA 序列化 base64 加密的数据;
或者如果以 ACED 开头,那么他就是这一段 java 序列化的 16 进制。
3、出现具体:
http 参数,
cookie
,
sesion
,存储方式可能是
base64(rO0
),压缩后的base64(H4s),MII 等
Servlets http,Sockets,Session 管理器,包含的协议就包括: JMX、RMI、JMS、JND1等。(/xac/Xed) xm IXstream/XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。
函数接口
1、Java:
Serializable Externalizable
接口、
fastjson
、
jackson
、
gson
、ObjectInputStream.read、
ObjectObjectInputStream.readUnshared
、 XMLDecoder.read、
ObjectYaml.loadXStream.fromXML
、ObjectMapper.readValue、
JSON.parseObject
等。
2、PHP :
serialize()
、
unserialize()。
3、Python:
pickle。
漏洞发现
1、黑盒分析:
数据库出现地---观察数据特性。
2、白盒分析:
组件安全&函数搜索&功能模块。
漏洞利用
Ysoserial集成的jar包配合生成,特性的专业漏洞利用工具等。
三、Java序列化反序列化演示
<第一部分>
1.演示需要用到的代码。
2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。
3.使用工具对序列化内容进行查看,可以看到其头部内容为ACED。
4.执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。
5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。
<第二部分>
1.这里用到一款工具,其支持一些pyload的生成。
2.打开工具。
3.后面为空的就是不需要其它的包,只需要java的原生类。
4. 先来到下面的网站获取一个地址。
5.在工具内执行下面的命令。
6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
7. 使用工具产看,其头部内容为ACED。
8.将a.txt放到刚刚反序列化的目录下。
9.将正常要进行反序列化的文件改成我们刚刚使用工具生成的文件。
10.执行序列化程序。
11.可以看到网站内成功获取到了数据。
12.这里发生了啥?
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。
四、靶场演示
1.启动靶场。
2.进入靶场,选择对应关卡。
3. 可以看到给出的序列化代码是以rO0AB开头的,是 JAVA 序列化 base64 加密的数据。
4.使用工具生成pyload。
5.再来目录下可以看到生成的文件。
6.生成的内容如下。
7.因为源代码会将序列化内容进行base64解密,因此我们还需要对其进行一次加密,使用下面的代码记性加密。
8.加密后的内容如下。
9.将代码粘贴到靶场。
10.点击提交后可以看到成功指定了调取计算器的命令。
