深挖Java安全系列(二):反序列化的艺术

## Java安全系列(二):反序列化的艺术

### 前言

在上一篇文章中，我们介绍了Java安全系列(一)：反序列化漏洞的概念和原理。在这篇文章中，我们将继续深入探讨Java安全系列(二)：反序列化的艺术。我们将从寻找反序列化链开始，挖掘Java项目中的反序列化漏洞。同时，我们还将探究在项目中寻找反序列化漏洞的技巧和方法。此外，我们还将了解一些依赖库类中存在的Gadget，并探讨如何利用这些Gadget来进行攻击。最后，我们还将介绍一些利用反序列化的攻击案例，以帮助读者更好地理解反序列化的危害。

### 寻找反序列化链(Gadget)

#### 在项目里找漏洞

readObject里的漏洞一般比较少，因为readObject方法一般是私有方法，很难被外部调用。所以，我们需要寻找项目的依赖库类中的Gadget。一些依赖也会有反序列化的操作，如果jar包中有反序列化的操作，那么我们就需要对该jar包进行分析。

#### 寻找项目的依赖库类中的Gadget

我们可以在项目的依赖库类中寻找Gadget。Gadget是指可以被利用来执行任意代码的Java类。一些常见的Gadget包括：

* **Commons BeanUtils** ：该类库提供了一个名为“setProperty”的方法，该方法可以将一个字符串值设置到一个对象的一个属性上。这个方法可以被用来执行任意代码。
* **Apache Commons Collections** ：该类库提供了一个名为“TransformingComparator”的类，该类可以被用来执行任意代码。
* **JBoss Marshalling** ：该类库提供了一个名为“ObjectInputStream”的类，该类可以被用来执行任意代码。

这些只是几个常见的Gadget的例子。实际上，还有很多其他类型的Gadget可以被用来执行任意代码。

### 利用Gadget进行攻击

一旦我们找到了一个Gadget，我们就可以利用它来进行攻击。一般来说，我们可以使用以下步骤来利用Gadget进行攻击：

1. 创建一个恶意序列化对象。这个对象可以包含一个Gadget。
2. 将恶意序列化对象发送给受害者。
3. 受害者反序列化恶意序列化对象。
4. Gadget被执行，从而导致攻击者控制受害者的系统。

### 利用反序列化的攻击案例

有许多利用反序列化的攻击案例。其中一些最著名的案例包括：

* **Apache Struts2漏洞** ：这是一个利用反序列化的漏洞，该漏洞允许攻击者在受害者的系统上执行任意代码。
* **Java RMI漏洞** ：这是一个利用反序列化的漏洞，该漏洞允许攻击者在受害者的系统上执行任意代码。
* **CVE-2019-2725漏洞** ：这是一个利用反序列化的漏洞，该漏洞允许攻击者在受害者的系统上执行任意代码。

这些只是几个利用反序列化的攻击案例的例子。实际上，还有很多其他利用反序列化的攻击案例。

### 总结

在本文中，我们介绍了Java安全系列(二)：反序列化的艺术。我们从寻找反序列化链开始，挖掘Java项目中的反序列化漏洞。同时，我们还探究了在项目中寻找反序列化漏洞的技巧和方法。此外，我们还了解了一些依赖库类中存在的Gadget，并探讨了如何利用这些Gadget来进行攻击。最后，我们还介绍了一些利用反序列化的攻击案例，以帮助读者更好地理解反序列化的危害。