Java安全之原生readObject方法解读

Java安全之原生readObject方法解读0x00前言在上篇文章分析shiro中,遇到了Shiro重写了ObjectInputStream的resolveClass导致的一些基于Invoke

大家好,又见面了,我是全栈君,祝每个程序员都可以多学几门语言。

Java安全之原生readObject方法解读

0x00 前言

在上篇文章分析shiro中,遇到了Shiro重写了ObjectInputStreamresolveClass导致的一些基于InvokerTransformer去实现的利用链没法使用,因为这需要去定义一个InvokerTrans数组,而该数组传入到Shiro重写后的resolveClass方法中会报错。但是在此之前,并没有去对readObject方法去做一个解读和分析。所以也不知道他具体的实现。包括在分析利用链的时候,只知道到调用了ObjectInputStream.readObject方法后,如果readObject被重写的话,就会调用重写后的readObject方法,但是我们也并不知道在内部是怎么样去做一个实现的。那么下面来分析一下readObject的功能实现。

0x01 readObject方法分析

在前面先贴一张readObject的执行流程图,这是一张weblogic的反序列化执行流程图。第一个readObject直接忽略,到下篇文weblogic再做讲解。

Java安全之原生readObject方法解读

这里写一段测试代码去进行反序列化操作,然后进行动态跟踪。

User实体类:

package com.nice0e3;

import java.io.Serializable;

public class User implements Serializable {
    private String name;
    private int age;

    @Override
    public String toString() {
        return "User{" +
                "name='" + name + '\'' +
                ", age=" + age +
                '}';
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    public User() {
    }

    public User(String name, int age) {
        this.name = name;
        this.age = age;
    }
}

ReadTest类:

package com.nice0e3;

import java.io.*;

public class ReadTest {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        User user = new User();
        user.setName("nice0e3");
        user.setAge(20);
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("1.txt"));
        oos.writeObject(user);
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("1.txt"));
        Object o = ois.readObject();
    }
}

然后将断点落在ObjectInputStream.readObject方法中,进行执行测试类代码动态跟踪。

Java安全之原生readObject方法解读

这里对enableOverride进行了一个判断,不为flase的话就会去返回readObjectOverride方法,而在构造方法中就定义该值为flase。

Java安全之原生readObject方法解读

下面就直接执行到了这步

Java安全之原生readObject方法解读

调用了readObject0方法,选择跟进查看一下内部的实现。

Java安全之原生readObject方法解读

在这里会去获取序列化信息第一个字节,如果为TC_RESET就会调用bin.readByte()handleReset();方法。

查看TC_RESET内容。

Java安全之原生readObject方法解读

而该值转换Byte后,为121,我们序列化数据的第一个字节为151,这里就跳过不执行了。

接下来代码中定义了一个switch去做一个判断,TC_OBJECT的值转换后刚刚好为115。那么就会执行到这一步。

Java安全之原生readObject方法解读

在这里面会调用readOrdinaryObject方法,进行跟进。

Java安全之原生readObject方法解读

在该方法中还会去调用readClassDesc方法,继续跟进。

Java安全之原生readObject方法解读

看到这里发现就很有意思了,获取我们序列化数据的第二个字节,然后又进行一次switch,这次走到了readNonProxyDesc方法中,跟进!

Java安全之原生readObject方法解读

Java安全之原生readObject方法解读

在这又调用了resolveClass方法然后传入readDesc参数。还是跟进方法。

Java安全之原生readObject方法解读

这里返回了

Class.forName(name, false, latestUserDefinedLoader());

latestUserDefinedLoader()方法返回的是sun.misc.VM.latestUserDefinedLoader()说明指定了该加载器。

返回到readOrdinaryObject方法中继续做分析。
Java安全之原生readObject方法解读

直接定位到这一步,该方法对反序列化的操作进行实现。

Java安全之原生readObject方法解读

这里的slotDesc.hasReadObjectMethod()获取的是readObjectMethod这个属性,如果反序列化的类没有重写readobject(),那么readObjectMethod这个属性就是空,如果这个类重写了readobject(),那么就会进入到if之中的

slotDesc.invokeReadObject(obj, this);

Java安全之原生readObject方法解读

如果readobject()方法被重写则是走到这一步

Java安全之原生readObject方法解读

0x02 Shiro resolveClass方法分析

在shiro里面resolveClass方法被进行了重写,导致大部分利用链都使用不了,查看一下该方法实现。

Java安全之原生readObject方法解读

这里去调用了ClassUtils.forName方法进行跟踪。

Java安全之原生readObject方法解读

这里是调用了THREAD_CL_ACCESSOR.loadClass,查看一下THREAD_CL_ACCESSOR是什么。

Java安全之原生readObject方法解读

跟进查看一下该类。

Java安全之原生readObject方法解读

这里调用getClassLoader方法获取类加载器,而在这里获取到的是ParallelWebappClassLoader,那么下面调用的肯定也就是ParallelWebappClassLoader.loadClass

上面内容中的一些补充:

TC_NULL描述符表示空对象引用

TC_REFERENCE描述符表示引用已写入流的对象

TC_PROXYCLASSDESC是新的代理类描述符

TC_CLASSDESC是新的类描述符

参考文章

https://blog.csdn.net/niexinming/article/details/106665753

https://www.anquanke.com/post/id/192619#h2-2

0x03 结尾

其实在前面的一些cc链的调试铺垫下,再去调试其他的一些漏洞,都会比较熟练。本文也是为了下文去做了一个较好的铺垫。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/119896.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • Allatori混淆动态调试分析

    Allatori混淆动态调试分析0x00前言在家的某天正刷的抖音小姐姐的时候,朋友突然给我扔来一个jar包说是有后门叫我调试分析一下并且把后门去掉。起初以为也没多大事,只要查看代码中疑似后门的地

    2021年12月13日
  • Http报头Accept与Content-Type的区别

    Http报头Accept与Content-Type的区别RequestMapping有多个属性来进一步匹配HTTP请求到Controller方法,分别是value,请求的URL的路径,支持也模板、正则表达式method,HTTP请求方法,有GETPOSTPUTconsumes,允许的媒体类型(MediaTypes),如onsumesapplication/ison”,对应于请求的HTTPConten…

  • scala隐式转换[通俗易懂]

    scala隐式转换[通俗易懂]简述:1:通过隐式转换,程序员可以在编写Scala程序时故意漏掉一些信息,让编译器去尝试在编译期间自动推导出这些信息来,这种特性减少代码量,忽略那些冗长的代码。2:我们经常引入第三方库,但当我们想要扩展新功能的时候通常是很不方便的,因为我们不能直接修改其代码。scala提供了隐式转换机制和隐式参数帮我们解决诸如这样的问题。Scala中的隐式转换是一种非常强大的代码查找机制。当函数、构造器调用缺少参数或者某一实例调用了其他类型的方法导致编译不通过时,编译器会尝试搜索一些特定的区域,尝试使编译

  • Android studio中如何调用setpositivebutton函数[通俗易懂]

    Android studio中如何调用setpositivebutton函数[通俗易懂]

  • UE4导入高度图

    UE4导入高度图UE4导入高度图查找高度图使用ps编辑图片打开虚幻引擎的地形编辑器查找高度图可以从百度直接搜索使用ps编辑图片下载下来之后图片是jpg格式的,虚幻引擎不能直接用需要使用ps编辑一下选择图像->勾选灰度和16位通道,注意:如果不勾选灰度,图片有颜色的话,ue生成地形可能出现为题;还有ue只支持16位通道,不要选择其他通道点击文件和储存为,之后出现一个弹窗,填写自己图片的名字,注意图片的格式只能是png和raw,其他格式ue不支持打开虚幻引擎的地形编辑器1.ue4.25的地形在模式

  • Elasticsearch学习,请先看这一篇!

    题记:Elasticsearch研究有一段时间了,现特将Elasticsearch相关核心知识、原理从初学者认知、学习的角度,从以下9个方面进行详细梳理。欢迎讨论……0.带着问题上路——ES是如何产生的?(1)思考:大规模数据如何检索?如:当系统数据量上了10亿、100亿条的时候,我们在做系统架构的时候通常会从以下角度去考虑问题:1)用什么数据库好?(mysql、sybase、oracle、达

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号