[Java反序列化]jdk原生链分析

最新推荐文章于 2025-11-24 14:38:27 发布
原创 最新推荐文章于 2025-11-24 14:38:27 发布 · 374 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言 #android

本文详细分析了JDK7u21中与Java反序列化相关的TemplatesImpl链,探讨了如何触发equalsImpl方法,控制memberMethods以实现任意方法调用。通过HashMap在反序列化过程中的put操作,利用hashCode方法的特性构建了特定的链。文章还讨论了为何选择特定的方法和类,并分析了官方的修复措施以及漏洞的影响范围。

JDK7u21

在很多链中,TemplatesImpl一直发挥着不可或缺的作用,它是位于jdk源码中的一段Gadget: getOutputProperties()->newTransformer()->getTransletInstance()->...

templatesImpl利用回顾:

com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet

其中只要能触发上述任意一个函数的,都可以完成TemplatesImpl的动态加载字节码功能。1.所以我们看jdk中是否有调用这三个函数?

还记得 sun.reflect.annotation.AnnotationInvocationHandler 嘛?这可是java反序列化中的重要角色。而jdk7u21算是对其利用的再挖掘。

为了简单直接,我把反编译的代码中的var变量替换了自定义变量

//AnnotationInvocationHandler.java
private Boolean equalsImpl(Object var1) {
    if (var1 == this) {
        return true;
    } else if (!this.type.isInstance(var1)) {
        return false;
    } else {
        Method[] methods = this.getMemberMethods();//获取this.type的所有方法
        int methods_num = methods.length;

        for(int var4 = 0; var4 < methods_num; ++var4) {
            Method var5 = methods[var4];
            String var6 = var5.getName();
            Object var7 = this.memberValues.get(var6);
            Object var8 = null;
            AnnotationInvocationHandler var9 = this.asOneOfUs(var1);//判断var1是否是代理类
            if (var9 != null) {
                var8 = var9.memberValues.get(var6);
            } else {
                try {
                    var8 = var5.invoke(var1);	//调用任意方法
                } catch (InvocationTargetException var11) {
                    return false;
                } catch (IllegalAccessException var12) {
                    throw new AssertionError(var12);
                }
            }

            if (!memberValueEquals(var7, var8)) {
                return false;
            }
        }

        return true;
    }
}

private Method[] getMemberMethods() {
    if (this.memberMethods == null) {
        this.memberMethods = (Method[])AccessController.doPrivileged(new PrivilegedAction<Method[]>() {
            public Method[] run() {
                Method[] var1 = AnnotationInvocationHandler.this.type.getDeclaredMethods();
                AccessibleObject.setAccessible(var1, true);
                return var1;
            }
        });
    }

    return this.memberMethods;
}

到这里,可以看到this.memberMethods可控,到现在也就是说如果能让AnnotationInvocationHandler调用equalImpl方法,且控制其中的memberMethods,就可以完成任意方法的调用了。

2.怎么触发equalsImpl?

最低0.47元/天 解锁文章
Java反序列化漏洞题看CodeQL数据流
weixin_62421895的博客
07-15 522
现在已经确定了(a)程序中接收不受信任数据的地方和(b)程序中可能执行不安全的反序列化的地方。现在把这两个地方联系起来未受信任的数据是否流向潜在的不安全的反序列化调用?在程序分析中,我们称之为数据流问题。数据流作用这个表达式是否持有一个源程序中某一特定地方的值呢?污点分析是一种跟踪并分析污点信息在程序中流动的技术。在漏洞分析中,使用污点分析技术将所感兴趣的数据(通常来自程序的外部输入)标记为污点数据,然后通过跟踪和污点数据相关的信息的流向,可以知道它们是否会影响某些关键的程序操作,进而挖掘程序漏洞。...
Java安全—原生反序列化&重写方法&条分析&触发类
2301_76227305的博客
11-27 1168
虽然今天的内容看起来有点复杂,但总结起来就一件事,想办法调用其它的readObject,而不是去调用原本的readObject。最后还是要声明一下,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
Javaweb安全——反序列化漏洞-原生利用JDK7u21
weixin_43610673的博客
07-08 683
先来看看ysoserial当中payload的调用:从TemplatesImpl.getOutputProperties()开始是很熟悉的,而调用它用的类也在之前CC1利用出现过:当时只用到了这个类会触发 Map#put 、 Map#get 的特点,这条利用则是用到了其方法去调用 有个很明显的反射调用 ,而 memberMethod 由getMemberMethods()方法获得,最终是由this.type.getDeclaredMethods()得到的type属性设置的类的所有方法。 equals
java原生序列化与反序列化
weixin_46602525的博客
06-14 525
序列化与反序列化序列化与反序列化的三种实现方式 序列化与反序列化的三种实现方式 student类实现serializable接口,ObjectOutputSteam和ObjectInputSteam采用默认的序列化和反序列化(writeObject,readObject)方法实现对Student对象的实列变量进行序列化和反序列化 //main import java.io.*; public class Demo { public static void main(String[] args)
java安全】原生反序列化利用JDK7u21
leekos的博客,分享web安全相关知识~
08-03 3984
进行反序列化利用。我们肯定会想,如果不利用第三方类库,能否进行反序列化利用呢?这里还真有:JDK7u21。但是只适用于java 7u及以前的版本在使用这条利用时,需要设置jdkjdk7u21。
JAVA】序列化,反序列化
codeDonald的博客
06-23 236
ObjectOutputStream ObjectInputStream package IO.序列化反序列化; /* */ import org.junit.Test; import java.io.*; public class ObjectInputOutputStreamTest { //序列化 @Test public void s1() throw...
Java代码审计&原生反序列化&CC跟踪分析
qq_46081990的博客
01-24 1953
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
【Web】浅聊Hessian反序列化原生jdk利用与高版本限制绕过
m0_74823595的博客
12-19 1153
上篇文章介绍了Hessian2异常触发toString,“触发toString方法便可生万物,而后打法无穷也”很容易想到常见的 Rome、XBean 等 toString,若目标环境没有这些依赖呢,有无原生jdk子打呢???还真有,服辣服辣!?&下面一起来学习大佬的姿势??
java之序列化与反序列化
m0_73866527的博客
01-15 1461
序列化与反序列化的理解
Javaweb安全——反序列化漏洞-原生利用JDK8u20
weixin_43610673的博客
10-24 1843
回顾一下JDK7u21那个子,主体部分是通过方法去调用。equalsImpl会将this.type 类中的所有方法遍历并执行,通过设置Templates类,则势必会调用到其中的 getOutputProperties()方法,进而触发任意代码执行。从7u25修复了这个利用,AnnotationInvocationHandler 的反序列化逻辑发生了改变,将会判断this.type字段值是否是 Annotation 注解类型,不是则直接抛出异常。
[Java安全]利用TemplatesImpl执行字节码
Y4tacker的博客
07-25 4083
文章目录defineClass利用TemplatesImpl执行字节码 defineClass 介绍之前首先还是要知道defineClass的利用方式,下面给出简单的代码 public class TouchFile{ public TouchFile() throws Exception { Runtime.getRuntime().exec("calc"); } } 把它编译成字节码后Base64 之后运行 Method defineClass =
Java序列化与反序列化详解
靖节先生的博客
03-24 1636
Java序列化与反序列化1. 序列化与反序列化概述1.1 序列化与反序列化简介1.2 序列化与反序列化作用1.3 序列化与反序列化工具2. 常用序列化工具详解2.1 serialVersionUID2.2 fastjson2.3 Kryo2.4 jackson2.5 gson2. 代码实现 1. 序列化与反序列化概述 1.1 序列化与反序列化简介 序列化:把对象转换为字节序列的过程称为对象的序列化。 反序列化:把字节序列恢复为对象的过程称为对象的反序列化。 1.2 序列化与反序列化作用 序列化与反序列化的作
JDK接合集
朝闻道_的博客
02-23 289
BigDecimal精度问题:http://blog.youkuaiyun.com/qishuo_java/article/details/38987463HashMap底层原理: https://www.cnblogs.com/wuhuangdi/p/4175991.html匿名内部类的方式new HashMap, new ArrayList同理:https://www.cnblogs.com/xdouby...
CodeQL学习
公众号shadow sock7
04-17 7342
CodeQL环境搭建 参考:https://help.semmle.com/codeql/codeql-cli/procedures/get-started.html 下载 下载接:https://github.com/github/codeql-cli-binaries/releases 下载最新的codeql.zip就可以了,比如: https://github.com/github/cod...
6-java安全——java反序列化漏洞利用
网络安全
07-01 4894
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
理解对象原型和原型
qq_43067585的博客
11-25 306
本篇文章带大家介绍一下JavaScript中的对象原型和原型。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。 对象原型 相信大家都这样用过 map: letarr=[0,1,2] letdoubleArr=arr.map(c=>c*2) console.log(doubleArr)//0,2,4 不知道你有没有想过,arr本身并没有设定map属性,那为什么可以用map这个函数呢? 把它打印出来看看: console...
SSM企业物资管理系统h3109(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
2509_93102542的博客
11-21 761
在技术实现上,国外多采用成熟的开发框架和技术架构,注重系统的安全性、稳定性和可扩展性,同时积极融入大数据、人工智能等新技术,实现物资需求预测、智能库存优化等功能。基于此,开发一套基于SSM框架的企业物资管理系统,整合部门、员工、物资及各类业务流程管理功能,实现物资管理的数字化、规范化和高效化,成为解决企业物资管理痛点的必然需求。本课题旨在开发一套基于SSM框架的企业物资管理系统,围绕部门、员工、物资信息、物资申请、消息提醒、物资归还、物资入库、意见反馈八大核心功能模块,实现企业物资管理的全流程数字化。
Java原生网络编程-BIO与NIO
最新发布
照母山挖洋芋
11-24 446
摘要:本文对比了Java原生JDK中的BIO(阻塞I/O)和NIO(非阻塞I/O)网络编程模型。BIO采用"一连接一线程"模式,存在线程资源浪费和性能瓶颈问题,可通过线程池优化为伪异步I/O模型。NIO通过Selector、Channel和Buffer三大核心组件实现非阻塞通信,支持单线程管理多个通道。重点介绍了NIO的Reactor模式、事件类型(OP_READ/OP_WRITE等)及服务端/客户端的不同关注点,展示了NIO相比BIO在高并发场景下的优势。(149字)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值