java反序列化
java反序列化
前言之前我们大致学习了php反序列化的内容,本节我们来了解一下java反序列化
1.1 java反序列化基础
1 功能特性:不像php反序列化中将对象转换为字符串,在java中,对象序列化后的结果是字节流。在java中反序
列化操作一般应用在导入模板文件,网络通信,数据传输,日志格式化存储等操作。
2 数据特性:一段数据要是以rO0AB 开头,那么基本可以确定这是java序列化base64加密的数据,如果是以aced
开头,那么他就是一段java序列化的16进制
3 反序列化判断:
可以通过查看java中是否引用Serializable接口来判断是否进行序列化,我们来查看一个序列化和反序列化的具体例子:
package SerialTest;
import java.io.*;
public class SerializableTest {
public static void main(String[] args) throws Exception {
serialPerson();
Person person = deserialPerson();
System.out.println(person);
}
/**
* Person对象序列化
* @throws IOException
*/
private static void serialPerson() throws IOException {
Person person = new Person("jack", 28, "男", 101);
ObjectOutputStream oos = new ObjectOutputStream(
new FileOutputStream(new File("d:/person.txt"))
);
oos.writeObject(person);
System.out.println("person 对象序列化成功!");
oos.close();
}
/**
* Person对象反序列化
* @return
* @throws Exception
*/
private static Person deserialPerson() throws Exception {
ObjectInputStream ois = new ObjectInputStream(
new FileInputStream(new File("d:/x.txt"))
);
Person person = (Person)ois.readObject();
System.out.println("person 对象反序列化成功!");
//Runtime.getRuntime().exec("calc.exe");
return person;
}
}
需要注意的是,打开输出流操作需要做异常处理
oos.writeObject(man);
将对象序列化后以字节码的形式存储在文件中
我们将写入数据后的文件用可以查看十六进制数据的软件打开,可以发现在十六进制数据的头部有着aced,这说
明这是一段java序列化后的16进制数据
几种常见的序列化和反序列化协议: xml, soap json protobuf
1.2 java反序列化产生原因
和php反序列化漏洞相同,如果我们可以控制反序列化读取的内容,我们就可以通过构造恶意序列化代码进行攻击
常用的java反序列化payload构造工具有ysoserial,该工具是jar包形式,下载好后选择并执行相应的反序列化类型
就可以获得恶意反序列化代码
1.3 java反序列化漏洞的利用
对于java反序列化漏洞,我们在进行分析时若是发现反序列化的数据可以被我们控制,然后根据其加载的不同的包
用工具生成不同的payload,根据加载的包不同能实现的功能也不同。
1.4 解密分析
对于我们生成的payload,我们正常是无法直接阅读的,所以也无法进行更改等操作,因为是字节流,我们这时候
使用工具SerializationDumper 对其进行处理就可以进行更改和解析,解密出的结果是可读的。