JAVA反序列化

漏洞原理：

序列化可以将对象变成可以传输的字符串，方便数据保存传输，反序列化就是将字符串还原成对象。如果web应用没有对用户输入的反序列化字符串进行检测，导致反序列化过程可以被控制，就会造成代码执行，getshell等一系列不可控的后果。

JAVA中的api实现

位置:

java.io.ObjectOutputStream

java.io.ObjectInputStream

序列化过程:

ObjectOutputStream类中的writeObject()方法:

对参数指定的obj对象进行序列化,把字节序列写到一个目标输出流中,按java的标准约定是给文件一个.ser扩展名

ObjectInputStreaml类中的readObject()方法:

从一个源输入流中读取字节序列,再把它们反序列化为一个对象，并将其返回.

java序列化标志:

rO0AB开头,为java序列化base64加密后的数据.

aced开头,java序列化后的16进制数据.

简单实例Demo:

Main.java:
package serializeDemo;
​
import java.io.*;
import java.io.Serializable;
​
public class Main {
    public static void main(String[] args) throws Exception{
        serializePerson();
        //Person person=deserializePerson();
       // System.out.print(person);
    }
​
    private static void serializePerson() throws IOException{
        Person person = new Person("name:mrob0t",18);
        ObjectOutputStream oos = new ObjectOutputStream(
                new FileOutputStream(new File("D:/person.txt"))
        );
        oos.writeObject(person);
        System.out.println("person序列化成功!");
        oos.close();
    }
​
    private static Person deserializePerson() throws  Exception{
        ObjectInputStream ois = new ObjectInputStream(
                new FileInputStream(new File("D:/person.txt"))
        );
        Person person=(Person)ois.readObject();
        System.out.println("person对象反序列化成功");
        return person;
    }
}
​
Person.java:
package serializeDemo;
​
import java.io.Serializable;
​
public class Person implements Serializable {
    private static final long serialVersionUID = 3604972003323896788L;
    public Person(String n, int a){
        String name;
        int age;
        name=n;
        age=a;
    }
}

漏洞检测与利用:

黑盒检测:

a. 从流量中发现序列化的痕迹，关键字：ac ed 00 05，rO0AB b. Java RMI 的传输 100% 基于反序列化，Java RMI 的默认端口是1099端口

白盒代码审计:

关注以下函数:

ObjectInputStream.readObject
ObjectInputStream.readUnshared
XMLDecoder.readObject
Yaml.load
XStream.fromXML
ObjectMapper.readValue
JSON.parseObject

利用:

payload生成器-ysoserial

自定义工具或脚本