作家
登录
17滚动

Java反序列化漏洞从理解到实践

作者: 来源: 2017-09-28 12:06:00 阅读 我要评论

你可以应用如下敕令来编译并运行这段代码,固然今朝它还没有什么实际功能:

  1. javac ManualPayloadGenerateBlog 
  2. java ManualPayloadGenerateBlog 

当你拓展这段代码的功能时,请切记以下几点:

碰着缺点代码时请及时Google。

类名需与文件名保持一致。

请闇练控制Java说话。

上述代码可以供给可用的初始人口点类以及构造函数,但我们具体须要往构造函数中传递什么参数呢?大年夜多笆攀例子中会应用如下这行代码:

  1. constructor.newInstance(Override.class, map); 
  1. sha256sum payload_ping_localhost.bin payload_manual.bin  
  2. 4c0420abc60129100e3601ba5426fc26d90f786ff7934fec38ba42e31cd58f07 payload_ping_localhost.bin 
  3. 4c0420abc60129100e3601ba5426fc26d90f786ff7934fec38ba42e31cd58f07 payload_manual.bin 

对于“map”参数我的懂得是,初次调用readObject时代会调用map对象的“entrySet”办法。我不是特别明白第一个参数的内部工作机制,但我知道readObject办法内部会检查这个参数,以确认该参数为“AnnotionType”类型。我们为该参数供给了一个“Override”类,可以知足类型请求。

如今说到重点了。畏敲?解法度榜样的工作道理,我们须要留意的是,第二个参数不是一个简单的Java map对象,而是一个Java代劳(Proxy)对象。我第一次接触到这个事及时也不明白这有什么具体含义。有一篇[文┞仿](http://www.baeldung.com/java-dynamic-proxies)具体介绍了Java动态代劳(Dynamic Proxies)机制的相干内容,也供给了异常好的示例代码。文┞仿部分内容摘抄如下:

“ 经由过程动态代劳机制,仅包含1个办法的单一类可以应用多个调用接口为包含随便率性多个办法的随便率性类供给办事。动态代劳的感化与封装(Facade)层类似,但你可以把它当成是随便率性接口的具体实现。抛去外表后,你会发明动态代劳会把所有的办法调用导向零丁的一个处理法度榜样,即invoke()办法。 ”

简单懂得的话,代劳对象可以假装成一个Java map对象,然后将所有对原始Map对象的调用导向对另一个类的某个办法的调用。让我们用一张图来梳理一下:

这意味着我们可以应用这种Map对象来拓展我们的代码,如下所示:

  1. final Map map = (Map) Proxy.newProxyInstance(ManualPayloadGenerateBlog.class.getClassLoader(), new Class[] {Map.class}, <unknown-invocationhandler>); 

须要留意的是,我们仍然须要匹配代码中的invocationhandler,如今我们还没填衬┞封个地位。这个地位最终由Groovy来填充,今朝为止我们仍逗留在通俗的Java类范围内。Groovy之所以合适这个地位,原因在于它包含一个InvocationHandler。是以,当InvocationHandler被调用时,法度榜样最终会引导我们达到代码履行效不雅,如下所示:

如今我们可以深刻分析一下,懂得具体的工作过程。话说回来,当理清这些问题后,你可能会找到另一篇文┞仿具体介绍了全部过程,所以如不雅愿意的话,你可以跳过 这部分内容,直接浏览这篇文┞仿。接下来的文┞仿侧重介绍了我所应用的办法。在我应用的办法中,异常重要的一点就是浏览ysoserial中关于这个马脚应用部分的源码。我不想反复说起这一点,如不雅你纳闷我怎么找到具体的工作流程,我会让你去浏览ysoserial的实现代码。

  1. final ConvertedClosure closure = new ConvertedClosure(new MethodClosure("ping 127.0.0.1""execute"), "entrySet"); 
  2. final Map map = (Map) Proxy.newProxyInstance(ManualPayloadGenerateBlog.class.getClassLoader(), new Class[] {Map.class}, closure); 

如你所见,膳绫擎代码中我们在invocationhandler填入了一个ConvertedClosure对象。你可以反编译Groovy库来确认这一点,当你不雅察ConvertedClosure类时,你可以看到它持续(extends )自ConversionHandler类,反编译这个类,你可以看到如下代码:

  1. public abstract class ConversionHandler 
  2.  implements InvocationHandler, Serializable 

大年夜代码中我们可知,ConversionHandler实现了InvocationHandler,这也是为什愦我们可以在代劳对象中应用它的原因地点。当时我不克不及懂得的是Groovy载荷若何经由过程Map代劳来实现代码履行。你可以应用反编译器来查看Groovy库的代码,但平日情况下,我发明应用Google来搜刮关键信息更为有效。比如说,这种情况下,我们可以在Google中搜刮如下关键词:

    	
			
     6/7   首页 上一页 4 5 6 7 下一页 尾页
    	
			
    

      推荐阅读
    

      如何解决深度学习中的多体问题
    

                
            「多体问题」(又叫 N 体问题)是看似简单,实际上在当今数学中极难霸占的问题。多体问题是指多个互相感化的实体。在物理学中,任何三体问题都没有一个封闭的情势或解析解(见:https://e>>>详细阅读
    

    

    本文标题:Java反序列化漏洞从理解到实践
    

    地址:http://www.17bianji.com/lsqh/37657.html
    

     1/2    1 

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

进入专栏
精彩导读
栏目ID=71的表不存在(操作类型=0)
科技快报
© 2013-2016 IT技术  京ICP备11016124号-4   

京公网安备 11011202000261号
网站介绍 合作联系 寻求报道 投稿指南 网站地图 XML地图