Java反序列化漏洞产生的原因
在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:
HTTP请求中的参数,cookies以及Parameters。
RMI协议,被广泛使用的RMI协议完全基于序列化
JMX 同样用于处理序列化对象
自定义协议 用来接收与发送原始的java对象
在序列化过程中会使用ObjectOutputStream类的writeObject()方法,在接收数据后一般又会采用ObjectInputStream类的readObject()方法进行反序列化读取数据。
上述代码中的java类ObjectInputStream在执行反序列化时并不会对自身的输入进行检查,意味着一种可能性,即恶意攻击者构建特定的输入,在ObjectInputStream类反序列化之后会产生非正常结果。而根据最新的研究,利用这一方法可以实现远程执行任意代码。
为了进一步说明,可以针对对上述代码进行了一点修改:
java反序列化漏洞利用工具
结果:
java反序列化漏洞利用工具
主要修改为自定义了一个被序列化的对象myobject,通过定义myobject实现了java序列化的接口并且定义了一种名为“readObject”的方法。通过对比上面例子的输出,可以发现反序列化的相关数值被修改了,即执行的用户自身的代码。造成结果不同的关键在于readObject方法,java在读取序列化对象的时候会先查找用户自定义的readObject是否存在,如果存在则执行用户自定义的方法。
- sofia体
- Blenda
- 109 cai978
- PTsans
- HelveticaNeueLTStd
- FelixTitlingMT
- BickhamscriptPro
- ARDECODE
- abel
- neutraface
- Bangla
- Arista
- AR BLANCA
- Trocchi
- Amatic
- couture
- CaLista
- helveticaneueltpro
- zurich
- Cocon
- bangla mn
- Ajiwaipro
- TechnicBold
- Novecento
- damion
- 甄嬛传消消消
- 粉红飞天猪
- 拯救宇宙飞船
- 队长USA
- 跳跃障碍
- 推动小行星
- 狼:喂我!
- 疯狂投掷
- 精灵和鞋匠
- 击毙鬼子
- 陆上原油集输(中国石化油田企业HSE培训教材)
- 我的成长故事(中班)
- 方舆 行政区划与地名 1602
- 黑白博弈(中日韩围棋大战演义)
- 活法儿
- 谈美书简/中小学语文新课标必读丛书
- 陆上采气(中国石化油田企业HSE培训教材)
- 赵孟頫胆巴碑
- 渤海垦区精神研究
- 高等数学学习辅导
- 战火红颜
- 新贵 第一季
- 槑头槑脑
- 结婚为什么
- 一起长大
- 镖王传奇
- 怪异家族
- 戏子
- 薛定谔的猫
- 我亲爱的朋友们