Serbian - Ht
HackTricks Training Twitter Linkedin Sponsor

Basic Java Deserialization (ObjectInputStream, readObject)

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

U ovom POST-u će biti objašnjen primer korišćenja java.io.Serializable.

Serializable

Java Serializable interfejs (java.io.Serializable) je marker interfejs koji vaše klase moraju implementirati ako želite da ih serijalizujete i deserijalizujete. Serijalizacija (pisanje) Java objekata se vrši pomoću ObjectOutputStream, a deserijalizacija (čitanje) se vrši pomoću ObjectInputStream.

Pogledajmo primer sa klasom Person koja je serializable. Ova klasa prepisuje funkciju readObject, tako da kada se deserijalizuje bilo koji objekat ove klase, ova funkcija će biti izvršena. U primeru, funkcija readObject klase Person poziva funkciju eat() njegovog ljubimca, a funkcija eat() psa (iz nekog razloga) poziva calc.exe. Videćemo kako da serijalizujemo i deserijalizujemo objekat Person da bismo izvršili ovaj kalkulator:

Sledeći primer je preuzet sa https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649

import java.io.Serializable;
import java.io.*;

public class TestDeserialization {
interface Animal {
public void eat();
}
//Class must implements Serializable to be serializable
public static class Cat implements Animal,Serializable {
@Override
public void eat() {
System.out.println("cat eat fish");
}
}
//Class must implements Serializable to be serializable
public static class Dog implements Animal,Serializable {
@Override
public void eat() {
try {
Runtime.getRuntime().exec("calc");
} catch (IOException e) {
e.printStackTrace();
}
System.out.println("dog eat bone");
}
}
//Class must implements Serializable to be serializable
public static class Person implements Serializable {
private Animal pet;
public Person(Animal pet){
this.pet = pet;
}
//readObject implementation, will call the readObject from ObjectInputStream  and then call pet.eat()
private void readObject(java.io.ObjectInputStream stream)
throws IOException, ClassNotFoundException {
pet = (Animal) stream.readObject();
pet.eat();
}
}
public static void GeneratePayload(Object instance, String file)
throws Exception {
//Serialize the constructed payload and write it to the file
File f = new File(file);
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
out.writeObject(instance);
out.flush();
out.close();
}
public static void payloadTest(String file) throws Exception {
//Read the written payload and deserialize it
ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
Object obj = in.readObject();
System.out.println(obj);
in.close();
}
public static void main(String[] args) throws Exception {
// Example to call Person with a Dog
Animal animal = new Dog();
Person person = new Person(animal);
GeneratePayload(person,"test.ser");
payloadTest("test.ser");
// Example to call Person with a Cat
//Animal animal = new Cat();
//Person person = new Person(animal);
//GeneratePayload(person,"test.ser");
//payloadTest("test.ser");
}
}

Zaključak

Kao što možete videti u ovom veoma osnovnom primeru, "ranjivost" ovde se javlja zato što funkcija readObject poziva druge ranjive funkcije.

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini da podržite HackTricks:

PreviousJava DNS Deserialization, GadgetProbe and Java Deserialization ScannerNextPHP - Deserialization + Autoload Classes

Last updated