German - Ht
HackTricks Training Twitter Linkedin Sponsor

Basic Java Deserialization (ObjectInputStream, readObject)

Unterstütze HackTricks

In diesem POST wird ein Beispiel mit java.io.Serializable erklärt.

Serializable

Das Java Serializable-Interface (java.io.Serializable) ist ein Marker-Interface, das deine Klassen implementieren müssen, wenn sie serialisiert und deserialisiert werden sollen. Die Java-Objektserialisierung (Schreiben) erfolgt mit dem ObjectOutputStream und die Deserialisierung (Lesen) erfolgt mit dem ObjectInputStream.

Lass uns ein Beispiel mit einer Klasse Person ansehen, die serialisierbar ist. Diese Klasse überschreibt die readObject-Funktion, sodass, wenn irgendein Objekt dieser Klasse deserialisiert wird, diese Funktion ausgeführt wird. Im Beispiel ruft die readObject-Funktion der Klasse Person die Funktion eat() seines Haustiers auf, und die Funktion eat() eines Hundes (aus irgendeinem Grund) ruft eine calc.exe auf. Wir werden sehen, wie man ein Person-Objekt serialisiert und deserialisiert, um diesen Rechner auszuführen:

Das folgende Beispiel stammt von https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649

import java.io.Serializable;
import java.io.*;

public class TestDeserialization {
interface Animal {
public void eat();
}
//Class must implements Serializable to be serializable
public static class Cat implements Animal,Serializable {
@Override
public void eat() {
System.out.println("cat eat fish");
}
}
//Class must implements Serializable to be serializable
public static class Dog implements Animal,Serializable {
@Override
public void eat() {
try {
Runtime.getRuntime().exec("calc");
} catch (IOException e) {
e.printStackTrace();
}
System.out.println("dog eat bone");
}
}
//Class must implements Serializable to be serializable
public static class Person implements Serializable {
private Animal pet;
public Person(Animal pet){
this.pet = pet;
}
//readObject implementation, will call the readObject from ObjectInputStream  and then call pet.eat()
private void readObject(java.io.ObjectInputStream stream)
throws IOException, ClassNotFoundException {
pet = (Animal) stream.readObject();
pet.eat();
}
}
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(String[] args) throws Exception {
// Example to call Person with a Dog
Animal animal = new Dog();
Person person = new Person(animal);
GeneratePayload(person,"test.ser");
payloadTest("test.ser");
// Example to call Person with a Cat
//Animal animal = new Cat();
//Person person = new Person(animal);
//GeneratePayload(person,"test.ser");
//payloadTest("test.ser");
}
}

Fazit

Wie Sie in diesem sehr einfachen Beispiel sehen können, entsteht die "Schwachstelle" hier, weil die readObject-Funktion andere anfällige Funktionen aufruft.

Unterstützen Sie HackTricks
PreviousJava DNS Deserialization, GadgetProbe and Java Deserialization ScannerNextPHP - Deserialization + Autoload Classes

Last updated