Java反序列化:基础(一)

已知python反序列化漏洞原因为__reduce__魔术方法,而Java并没有__reduce__魔术方法,那为何会反序列化漏洞呢?

Show me the code

Demo

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
public class HelloUser implements Serializable{
    private int id;
    private String name;
    private Date addDate;

    public HelloUser() {
    }

    public HelloUser(int id, String name, Date addDate) {
        this.id = id;
        this.name = name;
        this.addDate = addDate;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public Date getAddDate() {
        return addDate;
    }

    public void setAddDate(Date addDate) {
        this.addDate = addDate;
    }

    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", name='" + name + '\'' +
                ", addDate=" + addDate +
                '}';
    }
}
1
2
3
4
5
6
7
8
HelloUser user = new HelloUser();
user.setId(0xffff);
user.setName("m0d9");
user.setAddDate(Calendar.getInstance().getTime());

OutputStream outputStream = new FileOutputStream(new File("user3.out"));
ObjectOutputStream oos = new ObjectOutputStream(outputStream);
oos.writeObject(user);

数据结构

此时的object.obj 内容为

1
2
3
4
5
6
AC ED 00 05 73 72 00 28 63 6F 6D 2E 6D 30 64 39 2E 73 65 63 2E 65 78 61 6D 70 6C 65 2E 73 65 72  |  ....sr.(com.m0d9.sec.example.ser
69 61 6C 69 7A 65 2E 48 65 6C 6C 6F 55 73 65 72 11 C9 0B 11 E3 F2 05 8E 02 00 03 49 00 02 69 64  |  ialize.HelloUser...........I..id
4C 00 07 61 64 64 44 61 74 65 74 00 10 4C 6A 61 76 61 2F 75 74 69 6C 2F 44 61 74 65 3B 4C 00 04  |  L..addDatet..Ljava/util/Date;L..
6E 61 6D 65 74 00 12 4C 6A 61 76 61 2F 6C 61 6E 67 2F 53 74 72 69 6E 67 3B 78 70 00 00 FF FF 73  |  namet..Ljava/lang/String;xp....s
72 00 0E 6A 61 76 61 2E 75 74 69 6C 2E 44 61 74 65 68 6A 81 01 4B 59 74 19 03 00 00 78 70 77 08  |  r..java.util.Datehj..KYt....xpw.
00 00 01 72 92 F2 F8 83 78 74 00 04 6D 30 64 39                                                  |  ...r....xt..m0d9

可以大概看到,仅保存了类名及属性,除了readObject方法,并没有其他发挥空间

readObject流程

upload successful

Java反射机制、动态代理机制

反射机制和动态代理机制是Java反序列化的必备知识

参考【2】,bit4woo一系列的文章讲的很详细了

小结

java反序列化没有魔术方法,反序列化问题基本都出现在自定义的readObject上。

其实一般不太可能有readObject上有直接可以命令执行的问题,而是会存在调用一些比较特殊的方法,比如AnnotationInvocationHandler readObject在default反序列化之后,会对Map进行set操作,问题出现在set上,这个下节再讨论。

参考

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true