Basic Java Deserialization (ObjectInputStream, readObject)
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
このPOSTでは、java.io.Serializable
を使用した例が説明されます。
JavaのSerializable
インターフェース(java.io.Serializable
は、シリアライズおよびデシリアライズを行うクラスが実装しなければならないマーカーインターフェースです。Javaオブジェクトのシリアライズ(書き込み)はObjectOutputStreamを使用して行われ、デシリアライズ(読み込み)はObjectInputStreamを使用して行われます。
シリアライズ可能なクラスPersonの例を見てみましょう。このクラスはreadObject関数をオーバーライドしているため、このクラスの任意のオブジェクトがデシリアライズされると、この関数が実行されます。
この例では、クラスPersonのreadObject関数がそのペットのeat()
関数を呼び出し、犬のeat()
関数が(何らかの理由で)calc.exeを呼び出します。この計算機を実行するために、Personオブジェクトをシリアライズおよびデシリアライズする方法を見ていきます:
以下の例はhttps://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649からのものです。
この非常に基本的な例からわかるように、ここでの「脆弱性」はreadObject関数が他の脆弱な関数を呼び出しているために発生します。
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)