Basic Java Deserialization (ObjectInputStream, readObject)
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Bu POST'ta java.io.Serializable
kullanarak bir örnek açıklanacaktır.
Java Serializable
arayüzü (java.io.Serializable
, sınıflarınızın serileştirilmesi ve deserileştirilmesi için uygulaması gereken bir işaretçi arayüzüdür. Java nesne serileştirmesi (yazma) ObjectOutputStream ile yapılır ve deserileştirme (okuma) ObjectInputStream ile yapılır.
Serileştirilebilir bir Person sınıfı ile bir örneğe bakalım. Bu sınıf readObject fonksiyonunu geçersiz kılar, böylece bu sınıfın herhangi bir nesnesi deserileştirildiğinde bu fonksiyon çalıştırılacaktır.
Örnekte, Person sınıfının readObject fonksiyonu, evcil hayvanının eat()
fonksiyonunu çağırır ve bir Köpek'in eat()
fonksiyonu (bir sebepten dolayı) bir calc.exe çağırır. Bu hesap makinesini çalıştırmak için bir Person nesnesini nasıl serileştireceğimizi ve deserileştireceğimizi göreceğiz:
Aşağıdaki örnek https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649 adresinden alınmıştır.
Bu çok temel örnekte görebileceğiniz gibi, buradaki "açıklık" readObject fonksiyonu diğer savunmasız fonksiyonları çağırdığı için ortaya çıkmaktadır.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Training AWS Red Team Expert (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Training GCP Red Team Expert (GRTE)