Java安全—原生反序列化&重写方法&链条分析&触发类

发布于:2024-11-28 ⋅ 阅读:(42) ⋅ 点赞:(0)

前言

在Java安全中反序列化是一个非常重要点,有原生态的反序列化,还有一些特定漏洞情况下的。今天主要讲一下原生态的反序列化,这部分内容对于没Java基础的来说可能有点难,包括我。

序列化与反序列化

序列化:将内存中的对象压缩成字节流
反序列化:将字节流转化成内存中的对象

简单来说就是把对象转换为字节流,方便存储在文件、数据库等。

Java里面常见的序列化与反序列化协议。

JAVA内置的writeObject()/readObject()
JAVA内置的XMLDecoder()/XMLEncoder
XStream
SnakeYaml
FastJson
Jackson

假如我要传输这一串代码,直接复制的话肯定不行,因为里面有大量的空格和换行,直接复制会出错的。所以就要用到序列化,把它加密成一串字节流进行传输,然后再反序列化解密还原成代码即可。

原生反序列化

Java新建一个项目,叫serialization。

随便选个版本即可。

创建一个user类,并写入代码。

再创建一个类叫serialization_demo,用来实现序列化操作的。简单来说代码就是把我们的user类里面的对象进行序列化操作,并且把结果写入ser.txt里面。

package com.sf.maven.serialization;

public class serialization_demo {

    public static void main(String[] args) throws IOException {
        // 创建一个用户对象,引用UserDemo
        user u = new user("wlw", "gay", 30);
        // 调用方法进行序列化
        SerializableTest(u);
        // ser.txt 就是对象u序列化的字节流数据
    }

    public static void SerializableTest(Object obj) throws IOException {
        // 使用 ObjectOutputStream 将对象 obj 序列化后输出到文件 ser.txt
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.txt"));
        //序列化操作
        oos.writeObject(obj);
        // 关闭流
        oos.close();
    }
}

直接运行可以看到输入了我们的对象。

在旁边的目录下可以看到一个ser.txt文件,打开发现里面是字节流,这个ser.txt就是user对象序列化的结果。

我们再来试试反序列化,看看能不能把字节流还原。先创建一个类叫Unserialization_demo,写入以下代码,就是从ser.txt读取字节流,再反序列还原输出。

package com.sf.maven.serialization;
import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;

public class Unserialization_demo {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        // 调用下面的方法,传输 ser.txt,解析还原反序列化
        Object obj = UnserializableTest("ser.txt");

        // 对 obj 对象进行输出,默认调用原始对象的 toString 方法
        System.out.println(obj);
    }

    // 反序列化方法
    public static Object UnserializableTest(String Filename) throws IOException, ClassNotFoundException {
        // 读取 Filename 文件进行反序列化还原
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object o = ois.readObject();
        // 返回反序列化后的对象
        return o;
    }

}

直接运行好吧,可以看到输出了对象数据。

这就是原生的序列化和反序列化操作,就是把数据转换成字节流然后再封装成一个文件,然后再还原。

重写方法

OK,那么现在我们来讲一下怎么利用这个玩意,我们可以看到readObject()这个方法是来自ObjectinputStream.java这个文件。

而这个Java文件是来自src.zip里面,是我们JDK自带的东西。

现在我们来重写这个readObject这个方法,什么意思呢,就是当我们进行反序列化的时候不是会调用JDK自带的readObject()吗,那现在我们自己写一个readObject方法,让它在进行反序列的时候去调用我们自己写的readObject,而不是调用JDK自带的readObject。

在我们的user类里面加入重写readObject的代码,就是命令执行计算机。

重新对user进行序列化,生成新的ser.txt文件。

再对ser.txt进行反序列化,成功弹出了计算机!!!说明我们重写的方法有用,在反序列化的时候它执行的是user里面我们自己写的readObject,而不是JDK自带的。

我们来步入跟进一下代码,为了直观我们在readObject添加一行代码。

设置一个断点进行调试。

点击步入可以看到此时的Filename等于我们的ser.txt。

继续步入,执行到我们的ObjectInputStream读取文件这里。

接着步入跳到了ObjectInputStream.java类这里。

此时我们步出回到了这里。

接着步入,让它调用readObject。

关键的来了,此时我们再步入的话,跳转到了我们的user.java里面的readObject,而不是ObjectinputStream里面的readObject。

toString

上面我们说的方法是属于入口类的readObject危险方法直接调用(我也没搞懂为啥叫这个名字),还有方法就是—构造函数/静态代码块等类加载时隐式执行,说实话好绕口啊。其实我感觉两个都差不多,我们先在user里面重写一下toString。

把我们上面重写的readObject注释掉,重新序列化生成一个ser.txt。

再执行反序列化代码,对ser.txt还原,此时也弹出了计算机。

这是为啥,原来当我们用System.out.println()进行输出的时候,会默认调用toString方法,而toString我们上面添加了启动计算机的命令代码。

HashMap

还有就是如果我们使用的类里面自带readObject方法会不会触发呢,HashMap这个类里面就自带readObject,我们用它试一下。先创建一个类叫HashMap_demo,写入以下代码,就是对hash这个对象进行序列化并输出到url.txt,然后再反序列化。

package com.sf.maven.serialization;
import java.io.*;
import java.net.URL;
import java.util.HashMap;

public class HashMap_demo implements Serializable {
    public static void main(String[] args) throws IOException, ClassNotFoundException{
        HashMap<URL, Integer> hash = new HashMap<>();
        URL u = new URL("dnslog地址");
        hash.put(u, 1);
        //序列化
        SerializableTest(hash);
        //反序列化
        //UnserializableTest("url.txt");
    }

    public static void SerializableTest(Object obj) throws IOException {
        // 使用 ObjectOutputStream 将对象 obj 序列化后输出到文件 url.txt
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("url.txt"));
        //序列化操作
        oos.writeObject(obj);
        oos.close();
    }

    public static Object UnserializableTest(String Filename) throws IOException, ClassNotFoundException {
        // 读取 Filename 文件进行反序列化还原
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object o = ois.readObject();
        return o;
    }
}

直接运行代码先序列化生成一个url.txt。

接着对url.txt进行反序列,可以看到dnslog有回显,说明代码对dnslog进行了解析。

这是咋回事呢,直接来看一下这个利用链。我们引用了HashMap —> readObject本来在ObjectInputStream里面 —> 但是HashMap里面也有readObject —> 所以在反序列化的时候调用的是HashMap的readObject,而不是ObjectInputStream的readObject—>触发HashMap.putVal() —> 触发HashMap.hash() —> 最终触发URL.hashCode()去访问我们dnslog地址。

如果把dnslog地址换成命令,不就是RCE漏洞了吗,这种就是入口参数包含可控类,改类有危险方法,readObject时调用。

总结

虽然今天的内容看起来有点复杂,但总结起来就一件事,想办法调用其它的readObject,而不是去调用原本的readObject。

最后还是要声明一下,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。


网站公告

今日签到

点亮在社区的每一天
去签到