Basic Java Deserialization (ObjectInputStream, readObject)
Last updated
Last updated
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
In hierdie POST gaan 'n voorbeeld verduidelik word wat java.io.Serializable
gebruik.
Die Java Serializable
interface (java.io.Serializable
is 'n merk interface wat jou klasse moet implementeer as hulle geserialiseer en gedeserialiseer moet word. Java objek serialisering (skryf) word gedoen met die ObjectOutputStream en deserialisering (lees) word gedoen met die ObjectInputStream.
Kom ons kyk na 'n voorbeeld met 'n klas Persoon wat geserialiseer kan word. Hierdie klas oorskry die readObject funksie, so wanneer enige objek van hierdie klas gedeserialiseer word, gaan hierdie funksie uitgevoer word.
In die voorbeeld, die readObject funksie van die klas Persoon roep die funksie eat()
van sy troeteldier aan en die funksie eat()
van 'n Hond (om een of ander rede) roep 'n calc.exe aan. Ons gaan kyk hoe om 'n Persoon objek te serialiseer en te deserialiseer om hierdie sakrekenaar uit te voer:
Die volgende voorbeeld is van https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649
Soos jy in hierdie baie basiese voorbeeld kan sien, verskyn die "kwesbaarheid" hier omdat die readObject funksie ander kwesbare funksies aanroep.
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)