Basic Java Deserialization (ObjectInputStream, readObject)

ゼロからヒーローまでのAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricks をサポートする他の方法:

HackTricks で企業を宣伝したい または HackTricks をPDFでダウンロードしたい場合 は SUBSCRIPTION PLANS をチェックしてください！
公式PEASS＆HackTricksスワッグを入手する
The PEASS Family、当社の独占的な NFTs コレクションを発見する
**💬 Discordグループ または telegramグループ に参加するか、Twitter 🐦 @carlospolopm をフォローする。
ハッキングトリックを共有するために HackTricks と HackTricks Cloud のGitHubリポジトリにPRを提出する。

このPOSTでは、java.io.Serializable を使用した例が説明されます。

Serializable

Javaの Serializable インターフェース (java.io.Serializable) は、シリアライズおよびデシリアライズされるクラスが実装する必要があるマーカーインターフェースです。Javaオブジェクトのシリアライズ（書き込み）は ObjectOutputStream で行われ、デシリアライズ（読み込み）は ObjectInputStream で行われます。

シリアライズ可能な Personクラスの例を見てみましょう。このクラスは readObject 関数を 上書きしており、この クラスの 任意のオブジェクトが デシリアライズされると、この関数が実行されます。この例では、Personクラスの readObject 関数は、彼のペットの eat() 関数と、Dogの eat() 関数（何らかの理由で）が calc.exe を呼び出すようになっています。この計算機を実行するためにPersonオブジェクトをシリアライズおよびデシリアライズする方法を見ていきます:

以下の例は https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649 から取得しています

import java.io.Serializable;
import java.io.*;

public class TestDeserialization {
interface Animal {
public void eat();
}
//Class must implements Serializable to be serializable
public static class Cat implements Animal,Serializable {
@Override
public void eat() {
System.out.println("cat eat fish");
}
}
//Class must implements Serializable to be serializable
public static class Dog implements Animal,Serializable {
@Override
public void eat() {
try {
Runtime.getRuntime().exec("calc");
} catch (IOException e) {
e.printStackTrace();
}
System.out.println("dog eat bone");
}
}
//Class must implements Serializable to be serializable
public static class Person implements Serializable {
private Animal pet;
public Person(Animal pet){
this.pet = pet;
}
//readObject implementation, will call the readObject from ObjectInputStream  and then call pet.eat()
private void readObject(java.io.ObjectInputStream stream)
throws IOException, ClassNotFoundException {
pet = (Animal) stream.readObject();
pet.eat();
}
}
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(String[] args) throws Exception {
// Example to call Person with a Dog
Animal animal = new Dog();
Person person = new Person(animal);
GeneratePayload(person,"test.ser");
payloadTest("test.ser");
// Example to call Person with a Cat
//Animal animal = new Cat();
//Person person = new Person(animal);
//GeneratePayload(person,"test.ser");
//payloadTest("test.ser");
}
}

結論

この非常に基本的な例でわかるように、ここでの「脆弱性」は、readObject 関数が他の脆弱な関数を呼び出しているために発生しています。

PreviousJava DNS Deserialization, GadgetProbe and Java Deserialization Scanner NextPHP - Deserialization + Autoload Classes

Last updated 2 months ago