搭建一个java反序列化靶场

已于 2023-05-28 16:43:37 修改
阅读量10w+ 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全 Java 文章标签: java 安全 网络安全
于 2022-09-09 16:39:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leeezp/article/details/126783259
本文探讨了Java反序列化漏洞的原理,通过实例展示了如何利用 CommonsCollections 漏洞进行payload构建,并提供了环境搭建、修复建议(如ObjectInputFilter和SerialKiller)、代码审计关键点以及修复措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 简介

java反序列化漏洞研究需要。

反序列化的过程中,会涉及一些接口类或者基类(举个例子简单的如:Map、List 和 Object)。应用也必须根据数据源,去判断选择哪一个具体的接口实现类。也就是说,如果黑客可以控制输入数据,黑客也就可以控制反序列化过程中,应用要调用的接口实现类的默认方法。通过对不同接口类的默认方法进行组合,黑客就可以控制反序列化的调用过程,实现执行任意命令的功能。

0x01 环境搭建

环境:

java version "1.8.0_91" ; IDEA ULTIMATE 2019.3

考虑到springmvc项目配置略显繁琐,这里选择建立一个springboot项目。

IDEA  -- New Project -- Spring Initializr 

Next

Type 选择 Maven Project

 Next

选择 Web -- Spring Web

Next

Springboot项目就建好了。

修改pom.xml ,新增反序列化依赖 (下文会介绍为什么添加这个依赖)

<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
<version>3.2.1</version>
</dependency>

打开 DemoApplication.java 查看:

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

}

 需要修改的只有 DemoApplication.java 这个类:

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.ObjectInputStream;

@SpringBootApplication
@Controller
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

    @ResponseBody
    @RequestMapping("/cc5")
    public String cc5Vuln(HttpServletRequest request, HttpServletResponse response) throws Exception {
        java.io.InputStream inputStream =  request.getInputStream();
        ObjectInputStream objectInputStream = new ObjectInputStream(inputStream);
        try {
            String a=objectInputStream.readObject().toString();
            System.out.println(a);
        }catch (Exception e){
            System.out.println(e); //cc3 java.lang.annotation.IncompleteAnnotationException: java.lang.Override missing element entrySet
        }
        return "Hello,World";      
    }

    @ResponseBody
    @RequestMapping("/demo")
    public String demo(HttpServletRequest request, HttpServletResponse response) throws Exception{
        return "This is OK Demo!";
    }
}

 为什么不用CC3链呢,因为 CC3链在JDK8u71以上版本无法使用。产生报错:

cc3 java.lang.annotation.IncompleteAnnotationException: java.lang.Override missing element entrySet

我的java version "1.8.0_91",参考 ref: An Error Of "java -cp ysoserial-master.jar ysoserial.exploit.RMIRegistryExploit " · Issue #77 · frohoff/ysoserial · GitHub

0x02 payload 构建

payload生成:

java -jar ysoserial-0.0.5-all.jar CommonsCollections5 calc > a.ser

 burp 发包:

如果不添加 commons-collections 依赖,运行会报错:

java.lang.ClassNotFoundException: org.apache.commons.collections.keyvalue.TiedMapEntry

可见在反序列化的时候要调用这个jar。

0x03 修复与防御

1.使用ObjectInputFilter来校验反序列化的类


Java 9包含了支持序列化数据过滤的新特性,开发人员也可以继承java.io.ObjectInputFilter类重写checkInput方法实现自定义的过滤器,并使用ObjectInputStream对象的setObjectInputFilter设置过滤器来实现反序列化类白/黑名单控制。

ref : 《Combating Java Deserialization Vulnerabilities with Look-Ahead Object Input Streams (LAOIS)》

2.使用 SerialKiller.jar

GitHub - ikkisoft/SerialKiller: Look-Ahead Java Deserialization Library

将 ObjectInputStream.readObject()改为 SerialKiller.readObject()。

SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化。
SerialKiller.java为ObjectInputStream的子类,覆盖了resolveClass方法(此会被readObject()方法调用),加入了类名检查,确保反序列化的是安全的类。

0x04 代码审计

涉及到以下函数,则可能存在java反序列化:

readExternal 
objectInputStream.readObject()
objectInputStream.readUnshared()
xmlDecoder.readObject()
xStream.fromXML()
objectMapper.readValue()
JSON.parseObject()

......

0x05 后记

1.如果运行时报错:

java.io.StreamCorruptedException: invalid stream header: xxxx

应该使用序列化方式获取二进制流,不能直接传入文本。

https://www.cnblogs.com/gaoquanquan/p/11276114.html

2. IDEA 配置 Maven

Settings -- Maven -- Maven home directory : (填写本地的Maven路径)

3. 如果你用的是IDEA社区版,需要安装一个插件

​​​​​​​IDEA社区版怎么配置Spring boot项目?_idea没有创建springboot的选项怎么设置_普通网友的博客-优快云博客

14-2 tomcat反序列化
weixin_43263566的博客
12-07 1014
Apache Tomcat反序列化漏洞Apache Tomcat服务器中使用了自带session同步功能的配置,且没有使用Encrypt Interceptor加密拦截器的情况下。Apache Tomcat是一个基于Java的Web应用软件容器,用于运行servlet和JSP Web应用。当Tomcat使用了自带session同步功能时,并且未配置安全设置(缺少Encrypt Interceptor加密拦截器),存在反序列化漏洞。
Java反序列化漏洞及实例详解
ran的博客
04-15 4884
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
靶场java环境搭建资源包
06-25
使用说明见相关文章
java专题漏洞总结 + 靶场练习
最新发布
2301_81155391的博客
06-22 492
spel语句 : 就是spring中进行执行一些调用对象的语句如对象的调用和查询等,但是如果语句的参数是可控的就会导致 注入。这个漏洞利用还是比较刻苦的就是这个需要对模板进行操作 众所周知 只要admin才有这样的权限 所以这个漏洞可以用来提权。这个模板注入类似于 对前端的页面进行使用参数跳转页面的操作 (比如切换页面的语言等)我们使用对方的页面下看这个接口是非常不方便的 这个就需要进行转接(apifox)漏洞和配置不当的区别就是 漏洞是有可控制的参数的并且漏洞受版本的控制。
Java-Sec-Code靶场
Aiwin的博客
08-15 2884
Java-Sec-Code靶场
搭建一个java反序列化靶场(1)
2401_84972648的博客
05-15 984
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
java反序列化漏洞实战
weixin_34009794的博客
04-01 717
准备: 域名一个,用于增加NS解析,判断是否存在反序列化漏洞。 公网IP服务器一台,用于搭建DNS代理,抓包判断。 dnschef,DNS代理 ysoserial.jar生成payload. 简单的python脚本,调用ysoserial.jar并发送payload 首先域名增加一条A记录解析到公网IP服务,然后增加一条NS记录指向这条A记录。 然后公网IP服务器 开...
java rmi反序列化靶场_反序列化漏洞学习笔记+靶场实战
weixin_34170028的博客
02-25 1125
反序列化漏洞学习笔记+靶场实战反序列化漏洞相关知识点:(引自 i春秋网络安全学院文章)什么是反序列化:摘自维基百科:序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。概念很容易理解,其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫...
java反序列化
weixin_52221158的博客
08-17 900
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
[JAVA安全]weblogic反序列化介绍及环境搭建
snowlyzz的博客
01-14 885
weblogic 环境搭建
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个
2401_83974064的博客
04-18 484
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
JAVA 漏洞靶场 (Vulnerability Environment For Java).zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
JAVA 漏洞靶场 截图 介绍 Name Star [注入漏洞-SQL注入] :glowing_star::glowing_star::glowing_star: [注入漏洞-命令注入] :glowing_star: [注入漏洞-spel表达式注入] :glowing_star::glowing_star::glowing_star: [XSS漏洞] :glowing_star: [CSRF漏洞] :glowing_star::glowing_star: [SSRF漏洞] :glowing_star::glowing_star: [CORS漏洞] :glowing_star::glowing_star::glowing_star::glowing_star: [反序列化漏洞-Fastjson反序列化] :glowing_star::glowing_star::glowing_star::glowing_star: [验证码相关漏洞] :glowing_star::glowing_star: 安装 git clone https://github.com/tangxiaofeng7/Se
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java漏洞靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
靶场Writeup(四) | 反序列化、命令执行、Tomcat、域渗透等漏洞组合到攻克域控
Ms08067安全实验室
11-19 368
文章来源|MS08067 安全练兵场 知识星球本文作者:godunt(安全练兵场星球合伙人)玩靶场 认准安全练兵场成立"安全练兵场"的目的目前,安全行业热度逐年增加,很多新手安全从业人员在...
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(十)-Java反序列化漏洞(2)
m0_47470899的博客
04-04 3564
目录前言:2、项目配置3、编写“java 反序列化漏洞”后端代码4、编写“java 反序列化漏洞”前端代码5、运行测试 前言: 本篇文章在上一篇文章基础上,学习了解 java 反序列化漏洞的基础知识后,现在开始进行漏洞环境的代码实现。 2、项目配置 编写 application.properties spring.thymeleaf.prefix = classpath:/templates/ pom.xml 导入相关依赖 <?xml version="1.0" encoding="UTF-8"
Hello-Java-Sec靶场搭建
2301_81881972的博客
09-29 2137
这个会慢一点进⾏编译 编译太慢 推荐直接下载⽂件。本机数据库也行,不用这个也可。⽂件夹内有⼀个jar⽂件。账号密码同为admin。默认的 应该不⽤配置。
反序列化漏洞_WEB漏洞 JAVA 反序列化
weixin_39814378的博客
12-10 265
#序列化和反序列化序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化Java反序列化及命令执行代码测试在IDE创建一个package包,包名为SerialTest包中创建三个类文件MainPersonSeriali...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值