[Java反序列化]jdk原生链分析

最新推荐文章于 2025-06-05 14:36:46 发布
原创 最新推荐文章于 2025-06-05 14:36:46 发布
· 350 阅读 · 0 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #android

本文详细分析了JDK7u21中与Java反序列化相关的TemplatesImpl链,探讨了如何触发equalsImpl方法,控制memberMethods以实现任意方法调用。通过HashMap在反序列化过程中的put操作,利用hashCode方法的特性构建了特定的链。文章还讨论了为何选择特定的方法和类,并分析了官方的修复措施以及漏洞的影响范围。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

JDK7u21

在很多链中,TemplatesImpl一直发挥着不可或缺的作用,它是位于jdk源码中的一段Gadget: getOutputProperties()->newTransformer()->getTransletInstance()->...

templatesImpl利用回顾:

com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet

其中只要能触发上述任意一个函数的,都可以完成TemplatesImpl的动态加载字节码功能。1.所以我们看jdk中是否有调用这三个函数?

还记得 sun.reflect.annotation.AnnotationInvocationHandler 嘛?这可是java反序列化中的重要角色。而jdk7u21算是对其利用的再挖掘。

为了简单直接,我把反编译的代码中的var变量替换了自定义变量

//AnnotationInvocationHandler.java
private Boolean equalsImpl(Object var1) {
    if (var1 == this) {
        return true;
    } else if (!this.type.isInstance(var1)) {
        return false;
    } else {
        Method[] methods = this.getMemberMethods();//获取this.type的所有方法
        int methods_num = methods.length;

        for(int var4 = 0; var4 < methods_num; ++var4) {
            Method var5 = methods[var4];
            String var6 = var5.getName();
            Object var7 = this.memberValues.get(var6);
            Object var8 = null;
            AnnotationInvocationHandler var9 = this.asOneOfUs(var1);//判断var1是否是代理类
            if (var9 != null) {
                var8 = var9.memberValues.get(var6);
            } else {
                try {
                    var8 = var5.invoke(var1);	//调用任意方法
                } catch (InvocationTargetException var11) {
                    return false;
                } catch (IllegalAccessException var12) {
                    throw new AssertionError(var12);
                }
            }

            if (!memberValueEquals(var7, var8)) {
                return false;
            }
        }

        return true;
    }
}

private Method[] getMemberMethods() {
    if (this.memberMethods == null) {
        this.memberMethods = (Method[])AccessController.doPrivileged(new PrivilegedAction<Method[]>() {
            public Method[] run() {
                Method[] var1 = AnnotationInvocationHandler.this.type.getDeclaredMethods();
                AccessibleObject.setAccessible(var1, true);
                return var1;
            }
        });
    }

    return this.memberMethods;
}

到这里,可以看到this.memberMethods可控,到现在也就是说如果能让AnnotationInvocationHandler调用equalImpl方法,且控制其中的memberMethods,就可以完成任意方法的调用了。

2.怎么触发equalsImpl?

public Object invoke(Object var1, M
最低0.47元/天 解锁文章
【项目实战】Java的序列化与反序列化
本本本添哥
04-18 332
Java代码进行序列化和反序列化, 除了使用Java内置的序列化API外,还可以使用Apache Commons Lang库中的SerializationUtils类。
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 3640
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
Java反序列化漏洞题看CodeQL数据流
weixin_62421895的博客
07-15 485
现在已经确定了(a)程序中接收不受信任数据的地方和(b)程序中可能执行不安全的反序列化的地方。现在把这两个地方联系起来未受信任的数据是否流向潜在的不安全的反序列化调用?在程序分析中,我们称之为数据流问题。数据流作用这个表达式是否持有一个源程序中某一特定地方的值呢?污点分析是一种跟踪并分析污点信息在程序中流动的技术。在漏洞分析中,使用污点分析技术将所感兴趣的数据(通常来自程序的外部输入)标记为污点数据,然后通过跟踪和污点数据相关的信息的流向,可以知道它们是否会影响某些关键的程序操作,进而挖掘程序漏洞。...
Javaweb安全——反序列化漏洞-原生利用JDK7u21
weixin_43610673的博客
07-08 648
先来看看ysoserial当中payload的调用:从TemplatesImpl.getOutputProperties()开始是很熟悉的,而调用它用的类也在之前CC1利用出现过:当时只用到了这个类会触发 Map#put 、 Map#get 的特点,这条利用则是用到了其方法去调用 有个很明显的反射调用 ,而 memberMethod 由getMemberMethods()方法获得,最终是由this.type.getDeclaredMethods()得到的type属性设置的类的所有方法。 equals
java原生序列化与反序列化
weixin_46602525的博客
06-14 508
序列化与反序列化序列化与反序列化的三种实现方式 序列化与反序列化的三种实现方式 student类实现serializable接口,ObjectOutputSteam和ObjectInputSteam采用默认的序列化和反序列化(writeObject,readObject)方法实现对Student对象的实列变量进行序列化和反序列化 //main import java.io.*; public class Demo { public static void main(String[] args)
java安全】原生反序列化利用JDK7u21
leekos的博客,分享web安全相关知识~
08-03 3696
进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的版本在使用这条利用时,需要设置jdkjdk7u21。
JAVA】序列化,反序列化
codeDonald的博客
06-23 216
ObjectOutputStream ObjectInputStream package IO.序列化反序列化; /* */ import org.junit.Test; import java.io.*; public class ObjectInputOutputStreamTest { //序列化 @Test public void s1() throw...
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 1815
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
【Web】浅聊Hessian反序列化原生jdk利用与高版本限制绕过
m0_74823595的博客
12-19 1033
上篇文章介绍了Hessian2异常触发toString,“触发toString方法便可生万物,而后打法无穷也”很容易想到常见的 Rome、XBean 等 toString,若目标环境没有这些依赖呢,有无原生jdk子打呢???还真有,服辣服辣!?&下面一起来学习大佬的姿势??
java之序列化与反序列化
m0_73866527的博客
01-15 1330
序列化与反序列化的理解
Javaweb安全——反序列化漏洞-原生利用JDK8u20
weixin_43610673的博客
10-24 1745
回顾一下JDK7u21那个子,主体部分是通过方法去调用。equalsImpl会将this.type 类中的所有方法遍历并执行,通过设置Templates类,则势必会调用到其中的 getOutputProperties()方法,进而触发任意代码执行。从7u25修复了这个利用,AnnotationInvocationHandler 的反序列化逻辑发生了改变,将会判断this.type字段值是否是 Annotation 注解类型,不是则直接抛出异常。
Java序列化与反序列化详解
靖节先生的博客
03-24 1582
Java序列化与反序列化1. 序列化与反序列化概述1.1 序列化与反序列化简介1.2 序列化与反序列化作用1.3 序列化与反序列化工具2. 常用序列化工具详解2.1 serialVersionUID2.2 fastjson2.3 Kryo2.4 jackson2.5 gson2. 代码实现 1. 序列化与反序列化概述 1.1 序列化与反序列化简介 序列化:把对象转换为字节序列的过程称为对象的序列化。 反序列化:把字节序列恢复为对象的过程称为对象的反序列化。 1.2 序列化与反序列化作用 序列化与反序列化的作
JDK接合集
朝闻道_的博客
02-23 275
BigDecimal精度问题:http://blog.youkuaiyun.com/qishuo_java/article/details/38987463HashMap底层原理: https://www.cnblogs.com/wuhuangdi/p/4175991.html匿名内部类的方式new HashMap, new ArrayList同理:https://www.cnblogs.com/xdouby...
理解对象原型和原型
qq_43067585的博客
11-25 292
本篇文章带大家介绍一下JavaScript中的对象原型和原型。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。 对象原型 相信大家都这样用过 map: letarr=[0,1,2] letdoubleArr=arr.map(c=>c*2) console.log(doubleArr)//0,2,4 不知道你有没有想过,arr本身并没有设定map属性,那为什么可以用map这个函数呢? 把它打印出来看看: console...
CodeQL学习
公众号shadow sock7
04-17 7175
CodeQL环境搭建 参考:https://help.semmle.com/codeql/codeql-cli/procedures/get-started.html 下载 下载接:https://github.com/github/codeql-cli-binaries/releases 下载最新的codeql.zip就可以了,比如: https://github.com/github/cod...
6-java安全——java反序列化漏洞利用
网络安全
07-01 4628
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
优雅的系统重试
最新发布
huangyujun9920123的博客
06-05 880
本文探讨了如何优雅实现方法重试机制。程序员A起初采用固定次数的循环重试方式,但发现多个接口存在重复代码。通过分析将重试框架与业务逻辑解耦,最终构建了可复用的重试策略类。该方案使用Supplier函数式接口接收业务逻辑,实现了:1) 统一的最大重试次数控制;2) 状态码判断;3) 异常处理。这种设计既消除了代码冗余,又通过lambda表达式灵活支持不同业务逻辑,为类似场景提供了可扩展的解决方案。
PAT-乙级JAVA题解(更新中...)
qq_49695680的博客
06-04 844
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值