Java反序列化漏洞实现(1)------------【Java基础】
好吧,这个在网上的讲解一大堆了。我之所以写这个呢,是为了加深理解序列化和反序列化,当然还有反射。
序列化,它是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。
序列化和反序列化的过程,
讲解下,
- Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中。----------ObjectOutputStream类的writeObject方法可以实现序列化。
- 反序列化是指把字节序列恢复为 Java 对象的过程。----------ObjectInputStream 类的readObject方法用于反序列化。
那么接下来,我们看下如何序列化吧,
条件:
- 类必须实现反序列化接口,同时设置serialVersionUID以便适用不同jvm环境。
- 可通过SerializationDumper这个工具来查看其存储格式,主要包括Magic头:0xaced,TC_OBJECT:0x73,TC_CLASS:0x72,serialVersionUID,newHandle
就这样将String对象obj1序列化后写入object文件,后反序列化得到对象obj2,执行后输出:Hello world。
但是如果我们打开Object文件(默认在项目的文件夹下),
当然借用别人的,而我的是,
哈哈,可能借用的那张图是用二进制打开方式打开的,而我使用的是笔记本,它的编码不符合,所以出现了乱码。不过这也证明了多出的是java序列化内容的特征。
例如:Ac ed 00 05是java序列化内容的特征,编码后是rO0ABQ==。
好了,我们了解以及实践了。那么我们一般在什么时候呢?
- http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4sl),MII等。
- Servlets HTTP,Sockets,Session管理器包含的协议就包括JMX,RMI,JMS,JNDI等(\xac\xed)。
- xml Xstream,XMLDecoder等(HTTP Body:Content-Type:application/xml)。
- json(Jackson,fastjson) http请求中包含。
了解了这些基础,那么我们也就该了解反序列化的漏洞了。
如果你要验证上面的代码,那么你就要自己找一个应用,好比我,
Test.class中MyObject类有一个共有属性name,myObj实例化后将myObj.name赋值为了“hi”,然后序列话写入object,
漏洞发生在反序列化过程,MyObject类实现了Serializable接口,并重写了readObject()函数(从源输入流中读取字节序列,反序列化成对象),这里定制的行为是打开计算器:
通过上面,我们了解到反序列化的漏洞是多么可怕,你可以想象要是有黑客组织制作一系列的反序列化侵略命令,那么你的电脑将遭所到什么可怕的事情。
通过上面,我们了解到序列化和反序列化。对于这个功能我们绝对不可忽略,是因为它有可能被某些人用来入侵,而且后果非常可怕。
好了,我们了解了这么多。我们知道为什么要序列化吗?
你知道对象在一般情况下,会随着程序的终止而终止。但是在一些情况下,这些对象又不得不存在着。所以我们需要把这个对象的信息存储起来,在下次运行的时候该对象被重建并保存程序上次运行的信息,这就是“持久化”。
对象的存储可以是文件也可以是数据库,而且还可以通过网络来传输它。
嗯。。。
这也就意味着“持久化”可以把一个对象的生命周期不取决于程序是否运行了,而是生存于程序的调用之间。
但是上面能解决了我们的疑问了吗?
其实,
还有这一部分。
参考资料:
Java编程思想 第18章 Java I/O系统 18.12 对象序列化