搭建一个java反序列化靶场

已于 2023-05-28 16:43:37 修改
阅读量10w+ 收藏 5
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 网络安全 Java 文章标签: java 安全 网络安全
于 2022-09-09 16:39:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/leeezp/article/details/126783259
本文探讨了Java反序列化漏洞的原理,通过实例展示了如何利用 CommonsCollections 漏洞进行payload构建,并提供了环境搭建、修复建议(如ObjectInputFilter和SerialKiller)、代码审计关键点以及修复措施。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00 简介

java反序列化漏洞研究需要。

反序列化的过程中,会涉及一些接口类或者基类(举个例子简单的如:Map、List 和 Object)。应用也必须根据数据源,去判断选择哪一个具体的接口实现类。也就是说,如果黑客可以控制输入数据,黑客也就可以控制反序列化过程中,应用要调用的接口实现类的默认方法。通过对不同接口类的默认方法进行组合,黑客就可以控制反序列化的调用过程,实现执行任意命令的功能。

0x01 环境搭建

环境:

java version "1.8.0_91" ; IDEA ULTIMATE 2019.3

考虑到springmvc项目配置略显繁琐,这里选择建立一个springboot项目。

IDEA  -- New Project -- Spring Initializr 

Next

Type 选择 Maven Project

 Next

选择 Web -- Spring Web

Next

Springboot项目就建好了。

修改pom.xml ,新增反序列化依赖 (下文会介绍为什么添加这个依赖)

<dependency>
<groupId>commons-collections</groupId>
<artifactId>commons-collections</artifactId>
<version>3.2.1</version>
</dependency>

打开 DemoApplication.java 查看:

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

}

 需要修改的只有 DemoApplication.java 这个类:

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.ObjectInputStream;

@SpringBootApplication
@Controller
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

    @ResponseBody
    @RequestMapping("/cc5")
    public String cc5Vuln(HttpServletRequest request, HttpServletResponse response) throws Exception {
        java.io.InputStream inputStream =  request.getInputStream();
        ObjectInputStream objectInputStream = new ObjectInputStream(inputStream);
        try {
            String a=objectInputStream.readObject().toString();
            System.out.println(a);
        }catch (Exception e){
            System.out.println(e); //cc3 java.lang.annotation.IncompleteAnnotationException: java.lang.Override missing element entrySet
        }
        return "Hello,World";      
    }

    @ResponseBody
    @RequestMapping("/demo")
    public String demo(HttpServletRequest request, HttpServletResponse response) throws Exception{
        return "This is OK Demo!";
    }
}

 为什么不用CC3链呢,因为 CC3链在JDK8u71以上版本无法使用。产生报错:

cc3 java.lang.annotation.IncompleteAnnotationException: java.lang.Override missing element entrySet

我的java version "1.8.0_91",参考 ref: An Error Of "java -cp ysoserial-master.jar ysoserial.exploit.RMIRegistryExploit " · Issue #77 · frohoff/ysoserial · GitHub

0x02 payload 构建

payload生成:

java -jar ysoserial-0.0.5-all.jar CommonsCollections5 calc > a.ser

 burp 发包:

如果不添加 commons-collections 依赖,运行会报错:

java.lang.ClassNotFoundException: org.apache.commons.collections.keyvalue.TiedMapEntry

可见在反序列化的时候要调用这个jar。

0x03 修复与防御

1.使用ObjectInputFilter来校验反序列化的类


Java 9包含了支持序列化数据过滤的新特性,开发人员也可以继承java.io.ObjectInputFilter类重写checkInput方法实现自定义的过滤器,并使用ObjectInputStream对象的setObjectInputFilter设置过滤器来实现反序列化类白/黑名单控制。

ref : 《Combating Java Deserialization Vulnerabilities with Look-Ahead Object Input Streams (LAOIS)》

2.使用 SerialKiller.jar

GitHub - ikkisoft/SerialKiller: Look-Ahead Java Deserialization Library

将 ObjectInputStream.readObject()改为 SerialKiller.readObject()。

SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化。
SerialKiller.java为ObjectInputStream的子类,覆盖了resolveClass方法(此会被readObject()方法调用),加入了类名检查,确保反序列化的是安全的类。

0x04 代码审计

涉及到以下函数,则可能存在java反序列化:

readExternal 
objectInputStream.readObject()
objectInputStream.readUnshared()
xmlDecoder.readObject()
xStream.fromXML()
objectMapper.readValue()
JSON.parseObject()

......

0x05 后记

1.如果运行时报错:

java.io.StreamCorruptedException: invalid stream header: xxxx

应该使用序列化方式获取二进制流,不能直接传入文本。

https://www.cnblogs.com/gaoquanquan/p/11276114.html

2. IDEA 配置 Maven

Settings -- Maven -- Maven home directory : (填写本地的Maven路径)

3. 如果你用的是IDEA社区版,需要安装一个插件

​​​​​​​IDEA社区版怎么配置Spring boot项目?_idea没有创建springboot的选项怎么设置_普通网友的博客-优快云博客

14-2 tomcat反序列化
weixin_43263566的博客
12-07 1014
Apache Tomcat反序列化漏洞Apache Tomcat服务器中使用了自带session同步功能的配置,且没有使用Encrypt Interceptor加密拦截器的情况下。Apache Tomcat是一个基于Java的Web应用软件容器,用于运行servlet和JSP Web应用。当Tomcat使用了自带session同步功能时,并且未配置安全设置(缺少Encrypt Interceptor加密拦截器),存在反序列化漏洞。
Java反序列化漏洞及实例详解
ran的博客
04-15 4880
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
靶场java环境搭建资源包
06-25
使用说明见相关文章
java专题漏洞总结 + 靶场练习
最新发布
2301_81155391的博客
06-22 492
spel语句 : 就是spring中进行执行一些调用对象的语句如对象的调用和查询等,但是如果语句的参数是可控的就会导致 注入。这个漏洞利用还是比较刻苦的就是这个需要对模板进行操作 众所周知 只要admin才有这样的权限 所以这个漏洞可以用来提权。这个模板注入类似于 对前端的页面进行使用参数跳转页面的操作 (比如切换页面的语言等)我们使用对方的页面下看这个接口是非常不方便的 这个就需要进行转接(apifox)漏洞和配置不当的区别就是 漏洞是有可控制的参数的并且漏洞受版本的控制。
Java-Sec-Code靶场
Aiwin的博客
08-15 2883
Java-Sec-Code靶场
搭建一个java反序列化靶场(1)
2401_84972648的博客
05-15 984
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
java反序列化漏洞实战
weixin_34009794的博客
04-01 717
准备: 域名一个,用于增加NS解析,判断是否存在反序列化漏洞。 公网IP服务器一台,用于搭建DNS代理,抓包判断。 dnschef,DNS代理 ysoserial.jar生成payload. 简单的python脚本,调用ysoserial.jar并发送payload 首先域名增加一条A记录解析到公网IP服务,然后增加一条NS记录指向这条A记录。 然后公网IP服务器 开...
java rmi反序列化靶场_反序列化漏洞学习笔记+靶场实战
weixin_34170028的博客
02-25 1125
反序列化漏洞学习笔记+靶场实战反序列化漏洞相关知识点:(引自 i春秋网络安全学院文章)什么是反序列化:摘自维基百科:序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中,能恢复原先状态的过程。概念很容易理解,其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫...
java反序列化
weixin_52221158的博客
08-17 900
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
[JAVA安全]weblogic反序列化介绍及环境搭建
snowlyzz的博客
01-14 885
weblogic 环境搭建
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个
2401_83974064的博客
04-18 484
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
JAVA 漏洞靶场 (Vulnerability Environment For Java).zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
SecExample:JAVA 漏洞靶场 (Vulnerability Environment For Java)
07-24
JAVA 漏洞靶场 截图 介绍 Name Star [注入漏洞-SQL注入] :glowing_star::glowing_star::glowing_star: [注入漏洞-命令注入] :glowing_star: [注入漏洞-spel表达式注入] :glowing_star::glowing_star::glowing_star: [XSS漏洞] :glowing_star: [CSRF漏洞] :glowing_star::glowing_star: [SSRF漏洞] :glowing_star::glowing_star: [CORS漏洞] :glowing_star::glowing_star::glowing_star::glowing_star: [反序列化漏洞-Fastjson反序列化] :glowing_star::glowing_star::glowing_star::glowing_star: [验证码相关漏洞] :glowing_star::glowing_star: 安装 git clone https://github.com/tangxiaofeng7/Se
Java反序列化漏洞利用工具(WebLogic&Jboss)
01-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java漏洞靶场.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,靶场安全从业者提供了一个模拟真实网络环境的平台。通过构建类似实际网络的拓扑结构、部署各种安全设备和应用,靶场可以模拟出多样化的网络攻防场景。这使得安全人员能够在安全的环境中进行实际操作,全面提升其实战能力。 其次,靶场是渗透测试和漏洞攻防演练的理想场所。在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场搭建还促进了团队协作与沟通。在攻防对抗中,往往需要多人协同作战,团队成员之间需要密切配合,共同制定攻击和防御策略。这有助于培养团队合作意识,提高协同作战的效率。 此外,靶场为学习者提供了一个安全的学习环境。在靶场中,学生可以通过实际操作掌握安全知识,了解攻击技术和防御策略。这样的学习方式比传统的理论课程更加生动直观,有助于深化对安全领域的理解。 最后,靶场也是安全社区交流的平台。在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战演练的机会,促进了团队协作与沟通,为学习者提供了安全的学习环境,同时也是安全社区交流的重要平台。通过靶场的实践操作,安全从业者能够更好地应对不断演变的网络威胁,提高整体的安全水平。
靶场Writeup(四) | 反序列化、命令执行、Tomcat、域渗透等漏洞组合到攻克域控
Ms08067安全实验室
11-19 368
文章来源|MS08067 安全练兵场 知识星球本文作者:godunt(安全练兵场星球合伙人)玩靶场 认准安全练兵场成立"安全练兵场"的目的目前,安全行业热度逐年增加,很多新手安全从业人员在...
山东大学软件学院项目实训-创新实训-山大软院网络攻防靶场实验平台(十)-Java反序列化漏洞(2)
m0_47470899的博客
04-04 3564
目录前言:2、项目配置3、编写“java 反序列化漏洞”后端代码4、编写“java 反序列化漏洞”前端代码5、运行测试 前言: 本篇文章在上一篇文章基础上,学习了解 java 反序列化漏洞的基础知识后,现在开始进行漏洞环境的代码实现。 2、项目配置 编写 application.properties spring.thymeleaf.prefix = classpath:/templates/ pom.xml 导入相关依赖 <?xml version="1.0" encoding="UTF-8"
Hello-Java-Sec靶场搭建
2301_81881972的博客
09-29 2132
这个会慢一点进⾏编译 编译太慢 推荐直接下载⽂件。本机数据库也行,不用这个也可。⽂件夹内有⼀个jar⽂件。账号密码同为admin。默认的 应该不⽤配置。
反序列化漏洞_WEB漏洞 JAVA 反序列化
weixin_39814378的博客
12-10 265
#序列化和反序列化序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化Java反序列化及命令执行代码测试在IDE创建一个package包,包名为SerialTest包中创建三个类文件MainPersonSeriali...
fastjson序列化漏洞复现靶场
03-30
### 关于 FastJSON 序列化漏洞的复现靶场或测试环境 FastJSON 是阿里巴巴开源的一个高性能 JSON 解析库,在 Java 开发中广泛使用。然而,由于其设计上的缺陷,FastJSON 曾多次暴露出严重的反序列化漏洞,这些漏洞可能导致远程代码执行 (RCE) 或其他安全风险。 #### 使用 Docker 构建 FastJSON 漏洞靶场 可以通过 `Docker` 和 `VulHub` 提供的镜像快速搭建 FastJSON 的漏洞测试环境。以下是具体的实现方式: 1. **基于 VulHub 的 FastJSON 靶场** 参考引用提到 Kali 中通过 Docker 启动了 vulhub 的 fastjson 1.2.24 漏洞靶场环境[^2]。可以按照以下步骤操作: ```bash docker pull vulhub/fastjson:1.2.24 docker run --rm -d -p 8080:8080 --name fastjson-vuln vulhub/fastjson:1.2.24 ``` 上述命令会拉取并启动一个包含 FastJSON 1.2.24 版本漏洞的容器服务,默认监听端口为 `8080`。访问该服务即可进行漏洞验证。 2. **自定义构建靶场** 如果需要更灵活的控制或者特定版本的 FastJSON 测试环境,则可以选择手动创建项目文件夹,并编写简单的 Spring Boot 工程来集成指定版本的 FastJSON 库。例如: 创建 Maven 项目的 `pom.xml` 文件如下所示: ```xml <dependencies> <!-- 引入 FastJSON --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.24</version> </dependency> <!-- 引入 Web 支持 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> </dependencies> ``` 编写控制器类用于接收 POST 请求数据并通过 FastJSON 进行解析处理: ```java @RestController public class TestController { @PostMapping("/deserialize") public String deserialize(@RequestBody String jsonStr) throws Exception { Object obj = com.alibaba.fastjson.JSON.parseObject(jsonStr, Object.class); return "Deserialized object: " + obj.toString(); } } ``` 将此工程打包成可运行 JAR 并部署到服务器上完成本地化的漏洞研究平台建设工作。 #### PHP 反序列化学习经验分享 虽然问题是针对 FastJSON 的,但如果感兴趣了解另一种语言下的反序列化攻击机制的话,也可以参考 PHP 方面的知识点。比如有提到过重庆橙子科技提供的 php 反序列化练习场景说明文档指出当遇到私有属性命名冲突情况时需调整 URL 参数编码形式才能成功触发预期效果[^3]。 #### JAVA RMI 技术简介及其潜在威胁分析 另外还提到了有关 JAVA Remote Method Invocation 即远程过程调用相关内容介绍部分讲述了它的工作原理以及可能存在的安全隐患等问题所在之处[^4]。不过这与当前讨论主题关系不大所以不再展开细说。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值