Java反序列化漏洞及实例详解

谁借莪１个温暖的怀抱￠ 2023-09-25 22:46 72阅读 0赞

**目录**

一、序列化和反序列化

序列化

用途

二、Java反序列化漏洞

数据出现

函数接口

漏洞发现

漏洞利用

三、Java序列化反序列化演示

四、靶场演示

--------------------

# 一、序列化和反序列化 #

## 序列化 ##

把 Java 对象转换为字节序列（字节流）的过程。

**反序列化**

把字节序列（字节流）恢复为 Java 对象的过程。

## 用途 ##

*  把对象的字节序列永久地保存到硬盘上，通常存放在一个文件中（持久化对象）。
 *  在网络上传送对象的字节序列（网络传输对象）

# 二、Java反序列化漏洞 #

## **数据出现** ##

**1、功能特性：**

反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储、对象数

据落磁盘、或  DB  存储等业务场景。因此审计过程中重点关注这些功能板块。

**2、数据特性：**

一段数据以  rO0AB  开头，你基本可以确定这串就是  JAVA  序列化  base64  加密的数据；

或者如果以  ACED  开头，那么他就是这一段  java  序列化的  16  进制。

**3、出现具体：**

http 参数， cookie ， sesion ，存储方式可能是  base64(rO0 ），压缩后的base64(H4s),MII 等  Servlets http,Sockets,Session 管理器，包含的协议就包括: JMX、RMI、JMS、JND1等。(/xac/Xed) xm IXstream/XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。

## **函数接口** ##

**1、Java：**

Serializable Externalizable  接口、 fastjson 、 jackson 、 gson 、ObjectInputStream.read、 ObjectObjectInputStream.readUnshared 、 XMLDecoder.read、 ObjectYaml.loadXStream.fromXML 、ObjectMapper.readValue、 JSON.parseObject  等。

**2、PHP** **：**

serialize() 、  unserialize()。

**3、Python：**

pickle。

## **漏洞发现** ##

**1、黑盒分析：**

数据库出现地---观察数据特性。

**2、白盒分析：**

组件安全&函数搜索&功能模块。

## 漏洞利用 ##

Ysoserial集成的jar包配合生成，特性的专业漏洞利用工具等。

# 三、Java序列化反序列化演示 #

**<第一部分>**

1.演示需要用到的代码。

![94688cb03f16404ba1a94ae98c150979.png][]

![14b7ba25b482469ab4dd15aa4f5562cf.png][]

2.执行序列化部分的代码，可以看到在指定路径下生成了指定的文件，文件内包含序列化的内容。

![dd1ba8dac7764648b75554205663771a.png][]

![665a7e6cb05d4051b99ffd13b727697f.png][]

3.使用工具对序列化内容进行查看，可以看到其头部内容为ACED。

4.执行反序列化部分的代码，可以看到其反序列化成功，并且将原始的内容进行了返回。

![e05ad93abe014de18971882a9ff4a960.png][]

5.至此，我们可以想到，如果将反序列化的目标文件的内容进行修改，修改成具有攻击性的代码，那么就可以实现一定的攻击性行为。

**<第二部分>**

1.这里用到一款工具，其支持一些pyload的生成。

![b1cc0b92ddc549379524541463bd7f18.png][]

2.打开工具。

![619abdc04ef244cf99910edb14ab0d21.png][]

3.后面为空的就是不需要其它的包，只需要java的原生类。

![5dccd73484bb4b6cacc60fa93fb88604.png][]

4. 先来到下面的网站获取一个地址。

![f396b4efcfcf46de97c9be53366b1cf1.png][]

5.在工具内执行下面的命令。

![13a45c18f76e41e2993e5441309b1705.png][]

6.来到目标路径下可以看到生成的文件，以及文件内的序列化内容。

![09ebdb8be76d43588b6d7d985f049675.png][]

7. 使用工具产看，其头部内容为ACED。

![11b36eefc17e4b1fa5112f24eecd00a7.png][]

8.将a.txt放到刚刚反序列化的目录下。

![b847a627e81540449cdfdacd5e0ed45a.png][]

9.将正常要进行反序列化的文件改成我们刚刚使用工具生成的文件。

![a2eaf712bd8b49339495e4e549f3a0dd.png][]

10.执行序列化程序。

![29947dd6597743beb54e6b5a3c9c45ca.png][]11.可以看到网站内成功获取到了数据。

![ac5dcc84cbb242f1831c6f6d84563fcc.png][]

12.这里发生了啥？

在这里我们将其原有的代码数据更改成了一个访问http的代码数据，当对方在进行反序列化的时候，就会将我们更改后的代码数据进行执行，就会对http进行访问。

# 四、靶场演示 #

1.启动靶场。

# ![c8aabbae33b543e9ace8e983788b49ab.png][] #

2.进入靶场，选择对应关卡。

![80554780d31447749adbfd536b8e91e8.png][]

3. 可以看到给出的序列化代码是以rO0AB开头的，是 JAVA 序列化 base64 加密的数据。

4.使用工具生成pyload。

![0266466e0ff0451d87a45f6454244226.png][]

5.再来目录下可以看到生成的文件。

![96eceb30cdf0404c82cc1fc7c61e8d4e.png][]

6.生成的内容如下。

![9c948a5f6d3b428482d4412d4afe3307.png][]7.因为源代码会将序列化内容进行base64解密，因此我们还需要对其进行一次加密，使用下面的代码记性加密。

![873348f413aa46e4a1361bdc347fb0c8.png][]

8.加密后的内容如下。

![3350f4cfc6af4d2c8596a62683cc1546.png][]

9.将代码粘贴到靶场。

![6b27383882744faf97bd480db125bd46.png][]10.点击提交后可以看到成功指定了调取计算器的命令。

![606485fd550244cca03958973d3befc6.png][]

[94688cb03f16404ba1a94ae98c150979.png]: https://img-blog.csdnimg.cn/94688cb03f16404ba1a94ae98c150979.png
[14b7ba25b482469ab4dd15aa4f5562cf.png]: https://img-blog.csdnimg.cn/14b7ba25b482469ab4dd15aa4f5562cf.png
[dd1ba8dac7764648b75554205663771a.png]: https://img-blog.csdnimg.cn/dd1ba8dac7764648b75554205663771a.png
[665a7e6cb05d4051b99ffd13b727697f.png]: https://img-blog.csdnimg.cn/665a7e6cb05d4051b99ffd13b727697f.png
[e05ad93abe014de18971882a9ff4a960.png]: https://img-blog.csdnimg.cn/e05ad93abe014de18971882a9ff4a960.png
[b1cc0b92ddc549379524541463bd7f18.png]: https://img-blog.csdnimg.cn/b1cc0b92ddc549379524541463bd7f18.png
[619abdc04ef244cf99910edb14ab0d21.png]: https://img-blog.csdnimg.cn/619abdc04ef244cf99910edb14ab0d21.png
[5dccd73484bb4b6cacc60fa93fb88604.png]: https://img-blog.csdnimg.cn/5dccd73484bb4b6cacc60fa93fb88604.png
[f396b4efcfcf46de97c9be53366b1cf1.png]: https://img-blog.csdnimg.cn/f396b4efcfcf46de97c9be53366b1cf1.png
[13a45c18f76e41e2993e5441309b1705.png]: https://img-blog.csdnimg.cn/13a45c18f76e41e2993e5441309b1705.png
[09ebdb8be76d43588b6d7d985f049675.png]: https://img-blog.csdnimg.cn/09ebdb8be76d43588b6d7d985f049675.png
[11b36eefc17e4b1fa5112f24eecd00a7.png]: https://img-blog.csdnimg.cn/11b36eefc17e4b1fa5112f24eecd00a7.png
[b847a627e81540449cdfdacd5e0ed45a.png]: https://img-blog.csdnimg.cn/b847a627e81540449cdfdacd5e0ed45a.png
[a2eaf712bd8b49339495e4e549f3a0dd.png]: https://img-blog.csdnimg.cn/a2eaf712bd8b49339495e4e549f3a0dd.png
[29947dd6597743beb54e6b5a3c9c45ca.png]: https://img-blog.csdnimg.cn/29947dd6597743beb54e6b5a3c9c45ca.png
[ac5dcc84cbb242f1831c6f6d84563fcc.png]: https://img-blog.csdnimg.cn/ac5dcc84cbb242f1831c6f6d84563fcc.png
[c8aabbae33b543e9ace8e983788b49ab.png]: https://img-blog.csdnimg.cn/c8aabbae33b543e9ace8e983788b49ab.png
[80554780d31447749adbfd536b8e91e8.png]: https://img-blog.csdnimg.cn/80554780d31447749adbfd536b8e91e8.png
[0266466e0ff0451d87a45f6454244226.png]: https://img-blog.csdnimg.cn/0266466e0ff0451d87a45f6454244226.png
[96eceb30cdf0404c82cc1fc7c61e8d4e.png]: https://img-blog.csdnimg.cn/96eceb30cdf0404c82cc1fc7c61e8d4e.png
[9c948a5f6d3b428482d4412d4afe3307.png]: https://img-blog.csdnimg.cn/9c948a5f6d3b428482d4412d4afe3307.png
[873348f413aa46e4a1361bdc347fb0c8.png]: https://img-blog.csdnimg.cn/873348f413aa46e4a1361bdc347fb0c8.png
[3350f4cfc6af4d2c8596a62683cc1546.png]: https://img-blog.csdnimg.cn/3350f4cfc6af4d2c8596a62683cc1546.png
[6b27383882744faf97bd480db125bd46.png]: https://img-blog.csdnimg.cn/6b27383882744faf97bd480db125bd46.png
[606485fd550244cca03958973d3befc6.png]: https://img-blog.csdnimg.cn/606485fd550244cca03958973d3befc6.png