Java漏洞原理与实战

一、基本概念

1、序列化与反序列化

(1)序列化:将对象写入IO流中，ObjectOutputStream类的writeobject()方法可以实现序列化

(2)反序列化:从IO流中恢复对象，ObjectinputStream类的readObject()方法用于反序列化

(3)意义:序列化机制允许将实现序列化的Java对象转换为字节序列，这些字节序列可以保存到磁盘上，或通过网络传输，以达到以后恢复成原来的对象。序列化机制使得对象可以脱离程序的运行而独立存在

(4)序列化与反序列化是让Java对象脱离Java运行环境的一种手段，可以有效的实现多平台之间的通信、对象持久化储存。主要应用在以下场景:

HTTP:多平台之间的通信，管理等，也可以用于流量带外

RMI:是Java的一组拥护开发分布式应用程序的API，实现了不同操作系统之间程序的方法调用。值得注意的是，RMI的传输100%基于反序列化，Java RMI的默认端口是1099端口

JMX:JMX是一套标准的代理和服务，用户可以在任何Java应用程序中使用这些代理和服务实现管理，中间件weblogic的管理页面就是基于JMX开发的，而JBoss则整个系统都基于JMX框架

(5)Java代码审计思路

如果是Java原生类，则需要入口类readObject方法，同时实现了序列化接口，使其可以进行有效的反序列化，此时如果存在DNS解析，或者实现反序列化（利用Runtime对象进行类反射操作）

需要有最终的执行函数(可以执行代码或者命令)，比如Runtime.getRuntime().exec，ProcessBuilder().start，getHostAddress，文件读写...等等，这些函数需要自己平常去收集，这样审计起来会更得心应手

2、Java类反射机制

(1) 反射机制的作用:通过Java语言中的反射机制可以操作字节码文件(可以读和修改字节码文件)，可以通过另外的方式调用到类的属性和方法，甚至私有属性和方法

(2)反射机制的相关类在java.lang.reflect.*包下面

(3)反射机制的相关类有哪些:Constructor、Field、Method、Class等类

(4)java.lang.Class代表字节码文件，代表整个类

(5)java.lang.reflect.Method代表字节码中的方法字节码，代表类中的方法java.lang.reflect.Constructor代表字节码中的构造方法字节码，代表类中的构造方法java.lang.reflect.Field代表字节码中的属性字节码，代表类中的属性

(6)Java中为什么要使用反射机制，直接创建对象不是更方便?

如果有多个类，每个用户所需求的对象不同，直接创建对象，就要不断的去new一个对象，非常不灵活。而Java反射机制，在运行时确定类型，绑定对象，动态编译最大限度发挥了java的灵活性

(7)获取成员变量

(8)获取并调用方法

(9)获取构造方法

(10)访问私有属性

二、类反射机制实践

package com.woniu.vul;import java.lang.reflect.Constructor;
import java.lang.reflect.Field;
import java.lang.reflect.Method;class Test{public String name = "蜗牛学苑";public int age = 8;private String addr = "西安";private int price = 10000;public Test() {}public Test(int price){this.price = price;}public int setPrice(int price){System.out.println("新价格为:" + price);return price;}public int getPrice(){return this.price;}private void getAddr(){System.out.println("私有方法:" + addr);}}public class Reflect {public static void main(String[] args) throws Exception {/*Test t = new Test();System.out.println(t.getPrice());Test t1 = new Test(15000);System.out.println(t1.getPrice());System.out.println(t.name);*///使用反射机制实现属性和方法的调用（包括构造方法）//使用Class.forName可以获取到类本身，在JVM中动态加载Test类//Class clazz = Class.forName("com.woniu.vul.Test");//Class clazz = Test.class;//使用new Instance进行实例化//Test t = (Test) clazz.newInstance();//System.out.println(t.getPrice());//Object o = clazz.newInstance();  //实例化动态加载的类，类型必须是Object//        Method m1 = clazz.getMethod("getPrice");
//        int price1 = (int)m1.invoke(o,null);
//        System.out.println(price1);
//
//        Method m2 = clazz.getMethod("setPrice",int.class);
//        int price2 = (int)m2.invoke(o,15000);
//        System.out.println(price2);//调用price私有属性和getAddr私有方法，getFiled只能调用公有属性，getDeclareField才能调私有属性//Field f1 = clazz.getDeclaredField("price");//f1.setAccessible(true);  //设置私有属性可访问//System.out.println(f1.get(o));//getMethod只能调用公有方法，而getDeclareMethod才能嗲用私有方法//Method m1 = clazz.getDeclaredMethod("getAddr");//m1.setAccessible(true);//m1.invoke(o,null);//构造方法如果有参数，怎么办?Class clazz = Class.forName("com.woniu.vul.Test");Constructor c = clazz.getConstructor(int.class);  //获取到一个带参数的构造器Object o = c.newInstance(10); //用构造器去构造一个动态加载的类Method m1 = clazz.getDeclaredMethod("getPrice");int price = (int) m1.invoke(o,null);System.out.println(price);//遍历所有方法或操作Method[] methods = clazz.getDeclaredMethods();for (Method method : methods) {System.out.println(method + "   " + method.getName() + "    " + method.getModifiers());}Field[] fields = clazz.getDeclaredFields();for (Field field : fields) {System.out.println(field + "   " + field.getName() + "    " + field.getModifiers());}}
}

三、序列化与反序列化

序列化的实现代码

package com.woniu.vul;import java.io.*;class Student implements Serializable {public String name = "";public int id = 0;public String phone = "";public Student(){System.out.println("构造方法运行");}public void study(){System.out.println("学生正在学习");}public void sleep(){System.out.println("学生正在休息");}
}public class Unserial {public void serial() throws Exception {Student s = new Student();s.name = "张三";s.id = 12345;s.phone = "188123456786";FileOutputStream fos = new FileOutputStream("./data/student.ser");ObjectOutputStream oos = new ObjectOutputStream(fos);oos.writeObject(s);}public void unserial() throws Exception {FileInputStream fis = new FileInputStream("./data/student.ser");ObjectInputStream ois = new ObjectInputStream(fis);Student obj =(Student) ois.readObject();System.out.println(obj.name);obj.study();}public static void main(String[] args) throws Exception {Unserial us = new Unserial();//us.serial();us.unserial();}
}

序列化的内容如下:

 然后进行反序列化，切记不要去改我们的序列化内容，不然无法反序列化回去

 我们再补充两个小问题

正常情况下，高亮部分是可以被序列化的，但是如果在这之前加上transient来修饰的话就无法序列化

高亮部分的意思就是定义一个序列化版本的编号，也就是唯一标识

 

这个标识是用来干嘛的

接下来我们看看

我们重新反序列化看看效果

报错信息告诉我们是一个不可用的类

为什么不可用，让我们继续看报错信息

序列化的时候类的ID是前面的那一个，但是反序列的时候类的ID是后面那一个，序列化和反序列化的时候标识号是不一样的，意思就是这个类并不是我们需要反序列化的类

我们将代码中的ID改为其序列化时候原本的ID，那我们就可以完成反序列化的操作了

也就是说这个类在序列化的时候会记录下其类的标识UID

接下来我们看看反序列化产生的机制

首先这个序列化对象一旦有重写的方法，那我们在反序列化的时候会优先调用重写的readObject

 因为我们重写了readObject，所以就会先调用readObject，这就是Java反序列化的起点，也是唯一的起点

也就是说Java反序列化漏洞能够被利用，我们得有一个最基本的前提，就是目标类必须重写readObject方法，只有这样，代码才会被自动调用，否则就没有起点

如果不重写readObject方法的话，就不会发生Java反序列化漏洞

而我们的代码已经重写了readObject方法，所以我们可以对其利用

我们可以直接在重写方法的下面加上终点，也就是攻击者想要达到的效果，有始有终，整个攻击链才算完整

当然我们也可以使用类反射机制的手段去执行命令

因为getRuntime的实例不是纯粹的new出来的，而是通过调用getRuntime这个方法来获取其实例的，然后再通过这个实例去调用exec

加载java.lang.Runtime类

获取Runtime类中的getRuntime方法

调用Runtime方法，获取Runtime类的实例

获取Runtime类中的exec(string)方法

调用exec(String)方法，运行外部命令ifconfig

 运行代码，发现没有报错，说明应该是利用成功了，我不知道为啥不会显示执行ifconfig命令的内容，如果是Windows的话，可以将ifconfig改为calc.exe，大概率会显示出计算器

当然为了执行命令，不仅仅只有Runtime，还有ProcessBuilder

接下来我们看看其反射的调用

根据正常的调用来构造反射

先使用Class.forName这个方法来加载java.lang.ProcessBuilder这个类

然后使用Class对象的getConstructor来获取Processbuilder类的构造函数

接着使用Constructor对象的newInstance方法来创建ProcessBuilder的实例

然后使用Class对象的getMethod方法去获取ProcessBuilder中的start方法

最后使用Method对象的invoke方法去调用start方法

 然后运行，发现报错，是类型出现了错误

 我们先去看看ProcessBuilder的构造方法，它不是严格意义上的String，是String...（可变长的字符串）如果是whoami /user这条命令的话，我们得写到两个字符串里面，在Java中，对于可变长的字符串是将其放入到数组当中去

 然后我们将其修改为String[].class

然后继续运行，然后还是报错说类型不匹配

就是因为我们上面定义的是数组，下面是字符串，所以会报错

所以我们要将下面的类型转换为数组类型就可以了，也就是将其放到数组中就可以了，如下

继续运行，发现还是报错，报错信息还是类型不匹配

 我们去看看newInstace的构造方法，发现还是一个数组，它的类型是数组，数组里面的参数还是一个数组

所以这个cmd的类型要定义成二维数组，二维数组只需加两个{}即可，如下

然后去运行，发现没有报错，但是也没有回显命令的内容，应该是电脑的问题，如果是Windows的话在命令那一块改为calc.exe就可以打开计算器了