java反序列化原理-Demo(一)
阿新 • • 發佈:2018-08-13
51cto n) www. fault clas ack 保存 發現 auto java反序列化原理-Demo(一)
0x00 什麽是java序列化和反序列?
Java 序列化是指把 Java 對象轉換為字節序列的過程便於保存在內存、文件、數據庫中,ObjectOutputStream類的 writeObject() 方法可以實現序列化。
Java 反序列化是指把字節序列恢復為 Java 對象的過程,ObjectInputStream 類的 readObject() 方法用於反序列化。
0x01 java反序列漏洞原理分析
首先先定義一個user類需繼承Serializable
package test; import java.io.IOException; import java.io.Serializable; public class user implements Serializable { private String name; public String getName() { return name; } public void setName(String name) { this.name = name; } }
編寫一個測試類,生成一個user對象,將其序列化後的字節保存在硬盤上,然後再讀取被序列化後的字節,將其反序列化後輸入user的name熟悉
package test; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.IOException; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; public class test1 { public static void main(String[] args) { try { FileOutputStream out =new FileOutputStream("d:/1.bin"); ObjectOutputStream obj_out = new ObjectOutputStream(out); user u = new user(); u.setName("test"); obj_out.writeObject(u); //利用readobject方法還原user對象 FileInputStream in = new FileInputStream("d:/1.bin"); ObjectInputStream ins = new ObjectInputStream(in); user u1 = (user)ins.readObject(); System.err.println(u1.getName()); } catch (FileNotFoundException e) { // TODO Auto-generated catch block e.printStackTrace(); } catch (IOException e) { // TODO Auto-generated catch block e.printStackTrace(); } catch (ClassNotFoundException e) { // TODO Auto-generated catch block e.printStackTrace(); } } }
運行後輸出name屬性:test
為了構造一個反序列化漏洞,需要重寫user的readObjec方法,在改方法中彈出計算器:
重寫readObjec後的user類:
package test; import java.io.IOException; import java.io.Serializable; public class user implements Serializable { private String name; public String getName() { return name; } public void setName(String name) { this.name = name; } private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException { in.defaultReadObject(); Runtime.getRuntime().exec("calc.exe"); } }
再次運行測試類,發現計算器已經彈出:
只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可執行任意命令
0x02 總結
產生反序列化漏洞的前提是必須重寫繼承了Serializable類的readObjec方法
參考連接:
http://www.freebuf.com/vuls/170344.html
java反序列化原理-Demo(一)