java反序列化原理-Demo（一）

时间：2018-08-13 18:07:21 阅读：241 评论：0 收藏：0 [点我收藏+]

标签：href free try str shadow 硬盘 ofo time 保存

java反序列化原理-Demo（一）

0x00 什么是java序列化和反序列？

Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。
Java 反序列化是指把字节序列恢复为 Java 对象的过程，ObjectInputStream 类的 readObject() 方法用于反序列化。

0x01 java反序列漏洞原理分析

首先先定义一个user类需继承Serializable

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

}

编写一个测试类，生成一个user对象，将其序列化后的字节保存在硬盘上，然后再读取被序列化后的字节，将其反序列化后输入user的name熟悉

package test;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class test1 {
    public static void main(String[] args) {
        try {
            FileOutputStream out =new FileOutputStream("d:/1.bin");
            ObjectOutputStream obj_out = new ObjectOutputStream(out);
            user u = new user();
            u.setName("test");
            obj_out.writeObject(u);

            //利用readobject方法还原user对象
            FileInputStream in = new FileInputStream("d:/1.bin");
            ObjectInputStream ins = new ObjectInputStream(in);
            user u1 = (user)ins.readObject(); 

            System.err.println(u1.getName());
        } catch (FileNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }

    }
}

运行后输出name属性：test
技术分享图片

为了构造一个反序列化漏洞，需要重写user的readObjec方法，在改方法中弹出计算器：
重写readObjec后的user类：

package test;

import java.io.IOException;
import java.io.Serializable;

public class user implements Serializable {
    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    private void readObject(java.io.ObjectInputStream in) throws ClassNotFoundException, IOException {
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc.exe");
    }
}

技术分享图片

再次运行测试类，发现计算器已经弹出：
技术分享图片

只需要修改Runtime.getRuntime().exec("calc.exe");中的calc.exe即可执行任意命令

0x02 总结

产生反序列化漏洞的前提是必须重写继承了Serializable类的readObjec方法

参考连接：
http://www.freebuf.com/vuls/170344.html

java反序列化原理-Demo（一）

标签：href free try str shadow 硬盘 ofo time 保存

原文地址：http://blog.51cto.com/13770310/2159203

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行