Dans ce POST, un exemple utilisant java.io.Serializable va être expliqué.
Serializable
L'interface Java Serializable (java.io.Serializable) est une interface de balisage que vos classes doivent implémenter si elles doivent être sérialisées et désérialisées. La sérialisation des objets Java (écriture) est effectuée avec ObjectOutputStream et la désérialisation (lecture) est effectuée avec ObjectInputStream.
Voyons un exemple avec une classe Personne qui est sérialisable. Cette classe écrase la fonction readObject, donc lorsque n'importe quel objet de cette classe est désérialisé, cette fonction va être exécutée.
Dans l'exemple, la fonction readObject de la classe Personne appelle la fonction manger() de son animal de compagnie et la fonction manger() d'un chien (pour une raison quelconque) appelle un calc.exe. Nous allons voir comment sérialiser et désérialiser un objet Personne pour exécuter cette calculatrice :
importjava.io.Serializable;importjava.io.*;publicclassTestDeserialization {interfaceAnimal {publicvoideat();}//Class must implements Serializable to be serializablepublicstaticclassCatimplementsAnimal,Serializable {@Overridepublicvoideat() {System.out.println("cat eat fish");}}//Class must implements Serializable to be serializablepublicstaticclassDogimplementsAnimal,Serializable {@Overridepublicvoideat() {try {Runtime.getRuntime().exec("calc");} catch (IOException e) {e.printStackTrace();}System.out.println("dog eat bone");}}//Class must implements Serializable to be serializablepublicstaticclassPersonimplementsSerializable {privateAnimal pet;publicPerson(Animal pet){this.pet= pet;}//readObject implementation, will call the readObject from ObjectInputStream and then call pet.eat()privatevoidreadObject(java.io.ObjectInputStream stream)throwsIOException,ClassNotFoundException {pet = (Animal) stream.readObject();pet.eat();}}publicstaticvoidGeneratePayload(Object instance,String file)throwsException {//Serialize the constructed payload and write it to the fileFile f =newFile(file);ObjectOutputStream out =newObjectOutputStream(new FileOutputStream(f));out.writeObject(instance);out.flush();out.close();}publicstaticvoidpayloadTest(String file) throwsException {//Read the written payload and deserialize itObjectInputStream in =newObjectInputStream(new FileInputStream(file));Object obj =in.readObject();System.out.println(obj);in.close();}publicstaticvoidmain(String[] args) throwsException {// Example to call Person with a DogAnimal animal =newDog();Person person =newPerson(animal);GeneratePayload(person,"test.ser");payloadTest("test.ser");// Example to call Person with a Cat//Animal animal = new Cat();//Person person = new Person(animal);//GeneratePayload(person,"test.ser");//payloadTest("test.ser");}}
Conclusion
Comme vous pouvez le voir dans cet exemple très basique, la "vulnérabilité" ici apparaît parce que la fonction readObject appelle d'autres fonctions vulnérables.
