JDK7u21反序列链学习

最新推荐文章于 2024-09-23 23:00:09 发布
最新推荐文章于 2024-09-23 23:00:09 发布
阅读量652 收藏
点赞数
分类专栏: android 文章标签: 计算机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012804784/article/details/124113880
版权
本文详细分析了JDK7u21中的反序列化漏洞,涉及LinkedHashSet、AnnotationInvocationHandler和TemplatesImpl等关键类。通过POC分析,揭示了如何利用这些类实现远程代码执行,讲解了利用链的构造过程,包括hashCode和equals方法的巧妙运用,以及 AnnotationInvocationHandler的equalsImpl方法。最后,文章提到了 ysoserial 工具在构造POC中的作用,并表达了对作者深入研究的赞赏,计划继续学习调试fastjson。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Python微信订餐小程序课程视频

https://blog.youkuaiyun.com/m0_56069948/article/details/122285951

Python实战量化交易理财系统

https://blog.youkuaiyun.com/m0_56069948/article/details/122285941

JDK7u21

1、前置知识

jdk7u21是一条不依赖CommonsCollections库依赖的,看利用链所有知识其实跟CommonsCollections也有重复,我们来学习一下以前没学过的类或者方法。环境是jdk7u17。

LinkedHashSet

首先入口是LinkedHashSet的readObject方法,LinkedHashSet是HashSet的子类,也继承了序列化接口和集合接口,但是LinkedHashSet是没有重写readObject方法的,所以LinkedHashSet调用的是HashSet的父类的readObject方法

//构造函数,可以看到是直接调用父类的方法
public LinkedHashSet(int initialCapacity) {
        super(initialCapacity, .75f, true);
}

AnnotationInvocationHandler

hashCodeImpl

这个函数就是用来计算hashCode的,具体分析可以看POC调试,

private int hashCodeImpl() {
  int var1 = 0;

  Entry var3;
  for(Iterator var2 = this.memberValues.entrySet().iterator(); var2.hasNext(); var1 += 127 * ((String)var3.getKey()).hashCode() ^ memberValueHashCode(var3.getValue())) {
    var3 = (Entry)var2.next();
  }

  return var1;
}

memberValueHashCode

这个也是用来计算hashCode,可以看到里面都是调用hashCode方法,具体作用看POC调试

image-20220411124421422

equalsImpl

用来通过invoke来执行我们的恶意代码,具体看POC调试

image-20220411171908239

TemplatesImpl

getOutputProperties

其实getOutputProperties就是用来调用我们的newTransformer,然后就是跟cc链一样去实例化templates造成RCE

public synchronized Properties getOutputProperties() {
    try {
        return newTransformer().getOutputProperties();
    }
    catch (TransformerConfigurationException e) {
        return null;
    }
}

2、POC分析

2.1、利用链

/*

Gadget chain that works against JRE 1.7u21 and earlier. Payload generation has
the same JRE version requirements.

See: https://gist.github.com/frohoff/24af7913611f8406eaf3

Call tree:

LinkedHashSet.readObject()
 LinkedHashSet.add()
 ...
 TemplatesImpl.hashCode() (X)
 LinkedHashSet.add()
 ...
 Proxy(Templates).hashCode() (X)
 AnnotationInvocationHandler.invoke() (X)
 AnnotationInvocationHandler.hashCodeImpl() (X)
 String.hashCode() (0)
 AnnotationInvocationHandler.memberValueHashCode() (X)
 TemplatesImpl.hashCode() (X)
 Proxy(Templates).equals()
 AnnotationInvocationHandler.invoke()
 AnnotationInvocationHandler.equalsImpl()
 Method.invoke()
 ...
 TemplatesImpl.getOutputProperties()
 TemplatesImpl.newTransformer()
 TemplatesImpl.getTransletInstance()
 TemplatesImpl.defineTransletClasses()
 ClassLoader.defineClass()
 Class.newInstance()
 ...
 MaliciousClass.()
 ...
 Runtime.exec()
 */

2.2、POC分析

这里使用ysoserial来分析,看看大佬是怎么构造poc的,主函数在getObject方法里

public Object getObject(final String command) throws Exception {
		final Object templates = Gadgets.createTemplatesImpl(command);

		String zeroHashCodeStr = "f5a5a608";

		HashMap map = new HashMap();
		map.put(zeroHashCodeStr, "foo");

		InvocationHandler tempHandler = (InvocationHandler) Reflections.getFirstCtor(Gadg
最低0.47元/天 解锁文章
jdk-7u21-windows-x64
05-15
jdk-7u21-windows-x64 凑字 :JDK(JavaDevelopmentKit)是整个Java的核心,包括了Java运行环境、Java工具和Java基础类库。
jdk-7u21-window-i586.exe
01-13
已经绝版的jdk7.0版本,如果你想要你就下载看看哈,个人感觉挺好的!
[Java序列化]JDK7u21序列学习
feng的博客
08-30 916
前言 开始学习JDK7u21的原生,和CC的逻辑比起来难了不少呜呜。 版本 JDK7u21及其之前都可以。当然这个之前是广义的,因为比如JDK7在更新,不代表JDK6就没有在更新。所以相对来说的可以认为是,JDK7u21这个版本以及之前时间发布的所有Java版本都有问题,之后的JDK6可能在某一段时间仍有问题,具体也不考究了。 <properties> <maven.compiler.source>7</maven.compiler.source&
[Java序列化]JDK7U21原生序列化利用分析
Y4tacker的博客
07-29 1479
文章目录写在前面利用JDK7U21原生序列化利用分析流程跟踪参考文章 写在前面 这段时间看了也跟踪了CC,CB,也跟踪调试了shiro的两个子,XMLDecoder等,就用JDKK7U21原生序列化利用来暂时结束下最近的学习 利用 LinkedHashSet.readObject() LinkedHashSet.add() ... TemplatesImpl.hashCode() (X) LinkedHashSet.add() ... Pro
JDK7u21原生序列分析
12-05 978
JDK7u21原生序列分析 前面分析的都是第三方的序列,那么有没有JDK原生的序列呢?答案是有的,JDK7u21JDK8u20就是两条原生的序列
java序列化_Java序列化系列 ysoserial Jdk7u21
weixin_40003451的博客
11-17 376
0x01Jdk7U21漏洞简介谈到java的序列化,就绕不开一个经典的漏洞,在ysoserial 的payloads目录下 有一个jdk7u21,以往的序列化Gadget都是需要借助第三方库才可以成功执行,但是jdk7u21的Gadget执行过程中所用到的所有类都存在在JDK中,JRE版本<=7u21都会存在此漏洞0x02 Jdk7u21漏洞原理深入讲解漏洞执行流程整体的恶意...
JDK7u21序列学习.doc
07-08
总结来说,JDK 7u21中的序列学习揭示了一个可以通过序列化对象来触发的潜在安全风险。这种风险在于`LinkedHashSet`和`AnnotationInvocationHandler`的组合使用,以及`TemplatesImpl`类在序列化过程中的行为...
【技术分享】由JDK7u21序列化漏洞引起的对TemplatesImpl的深入学习 .pdf
09-05
【技术分享】由JDK7u21序列化漏洞引起的对TemplatesImpl的深入学习,主要探讨了在Java开发环境中,由于JDK7u21版本中的序列化漏洞,如何引发安全问题,并且深入剖析了 TemplatesImpl 类在其中的作用。...
JDK7u21序列:LinkedHashSet与RCE漏洞详解
JDK 7u21引入了一种新的序列化机制,使得开发者可以利用序列化进行(Reflection Chain)攻击,这是针对早期版本JDK的一种常见的安全问题,如JRE 1.7u21及更早版本。 1. 前置知识: - JDK 7u21不再依赖...
JDK7u21中,如何通过分析hashCodeImpl和equalsImpl方法的实现来识别并利用LinkedHashSet类的序列化漏洞?
最新发布
11-03
为了更全面地理解这个过程并掌握防御策略,建议深入阅读这份资料:《JDK7u21序列:LinkedHashSet与RCE漏洞详解》。该文档详细探讨了JDK7u21中的LinkedHashSet序列化漏洞,并提供了深入的分析和防御建议,...
jdk-7u21-windows-x64.exe
01-24
java最常用的jdk版本,在windows下双击运行可直接安装,安装成功后,配上环境变量就可以使用。
jdk-7u21-windows-x64.part1
05-01
有两部分 windows-x64 目前最新的JDK
jdk-7u21-windows-i586.part1.rar
06-06
最新版jdk7.0,免费送上方便大家下载,分为2个部分,请大家都下载后在解压~~
JavaSetup7u21
04-18
由于Android模拟器需要在Java环境才能运行,先下载Java安装吧
java7u21最新版本
05-31
Java语言恐怕是稳居网路应用程序语言的首选了,这都要归功于它高度的安全性以及跨平台的特性,几乎在目前所有的电脑平台上您都可以见得到Java的芳踪。过去很可能会有不少人抱怨Java虽然有著相当不错的跨平台以及安全防护等特性,但是它的执行速度远远不及C++等各种传统惯用的程序语言。不过这次Sun Microsystem可是有备而来的,不仅在执行速度上有大幅度的改革,而且在内容上也有做了一些修改以及增强。最新JAVA运行库,建立一个运行JAVA的环境。这一升级版对Java Plug-in进行了功能增强,提供了对Netscape 6 Open JVM整合支持等等。由于JRE新增的功能以及程序修正之处相当多,如果需要详尽资料的话不妨可以参考Sun的官方网页。 java se runtime environment包含java虚拟机,运行时类库,是用来运行java语言的必备和推荐环境,不包含开发和编译工具,如果需要这类工具请下载java se development kit
Java序列 Jdk7u21 Payload 学习笔记
weixin_44476888的博客
04-24 1720
0x00 简介 最近在看Java 序列化的一些东西,在学习 ysoserial 的代码时,看到 payload list 中有一个比较特殊的 Jdk7u21,该 payload 不依赖第三方库,只需 JRE 即可完成攻击,影响 JRE versions <=7u21 的版本。在学习的过程中,觉得很有意思,这里记录一下的过程,如果有什么地方写的不准确或错误,欢迎指出 文章中的代码运行环境为...
【Web】Java原生序列化之jdk7u21——又见动态代理
uuzeray的博客
03-05 1366
【Web】Java序列化之CC7——Hashtable-优快云博客【Web】Java序列化之再看CC1--LazyMap-优快云博客有相关的前置知识,跟起来还挺有意思。
java 7u21_java培训班 | JDK序列化Gadgets-7u21
weixin_28750663的博客
03-04 280
从fastjson1.24版本的序列化利用方式知道有使用jdk7u21的版本利用,ysoserial利用工具中也有7u21利用。现在都是7u80版本了,这个漏洞真正直接利用,估计已经很难找到了。但是这个利用的构造有很多之前没接触过的java特性,就此好好学习一下,也算是fastjson的前置知识吧。先去Oracle官网下载漏洞jdk版本7u21,漏洞影响7u25之前的版本,整条poc貌似...
JDK7u21 HashMap版
qq_51796436的博客
09-23 419
今天在搞ROME HotSwappableTargetSource的时候突然发现,JDK7U21序列不仅HashMap.put触发了key.equals。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值