至于如何使用这个漏洞对系统发起攻击,举一个简单的例子,我通过本地java程序将一个带有后门漏洞的jsp(一般来说这个jsp里的代码会是文件上传和网页版的SHELL)序列化,将序列化后的二进制流发送给有这个漏洞的服务器,服务器会自动根据流反序列化的结果生成文件,然后就可以大摇大摆的直接访问这个生成的JSP文件把服务器当后花园了。
如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
所以这个问题的根源在于类ObjectInputStream在反序列化时,没有对生成的对象的类型做限制;假若反序列化可以设置Java类型的白名单,那么问题的影响就小了很多。
不行就分步反序列化
得到各个JSON Object的反序列化,包括mods_description要定义为String.
2.讲mods_description这个JSON Array再反序列化。注意这个是json array,要用List.
由于时间关系我也没有写全,这里提供一个思路吧。代码如下:
Account.java:
@Data
public class Account {
private int id
private String name
// @PowerfulAnnotation注解是我臆想的
@PowerfulAnnotation("token.id")
private String tokenId
@PowerfulAnnotation("token.key")
private String key
}
PowerfulAnnotation.java:
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface PowerfulAnnotation {
String value() default ""
}
测试类Main.java:
public class Main {
public static void main(String[] args) throws Exception {
Account account = new Account()
String ori = "{\n" +
"\"id\": 11111,\n" +
"\"name\": \"小李\",\n" +
"\"token\": {\n" +
"\"id\": 22222222,\n" +
"\"key\": \"ddddddddd\"\n" +
"}\n" +
"}"
Gson gson = new Gson()
//字符串json转JsonObject
JsonObject jsonObject = gson.fromJson(ori, JsonObject.class)
//反射获取目标对象属性
for (Field field : account.getClass().getDeclaredFields()) {
String fieldName = field.getName()
Class fieldClass = field.getType()
System.out.print("当前field名:[" + fieldName + "],")
System.out.println("当前field类型:[" + fieldClass + "]")
Annotation annotation = field.getDeclaredAnnotation(PowerfulAnnotation.class)
//检查是否有PowerfulAnnotation注解
if (annotation != null) {
PowerfulAnnotation powerful = (PowerfulAnnotation) annotation
String powerfulValue = powerful.value()
System.out.println("发现PowerfulAnnotation注解,值为:[" + powerfulValue + "]")
String[] tmp = powerfulValue.split("\\.")
//声明一个临时JsonObject,将用于获取下一层json对象
JsonObject tmpJson = jsonObject
for (int i = 0i <tmp.lengthi++) {
//目标值是在powerfulValue的最后一个字段,例如powerfulValue为token.id的话,目标的值就是id,所以先获取token这个jsonObject,并赋值给临时tmpJson
if (i != tmp.length - 1) {
tmpJson = jsonObject.get(tmp[i]).getAsJsonObject()
} else {
//到达powerfulValue的最后一个字段,检查其类型,并赋值给目标对象
Object value = checkFieldType(tmpJson, tmp[i], fieldClass)
//从目标对象中获取目标属性
Field targetField = account.getClass().getDeclaredField(field.getName())
targetField.setAccessible(true)//解除私有限制
System.out.println("将[" + powerfulValue + "]的值[" + value + "]赋给目标对象的[" + fieldName + "]")
//将值赋值给目标属性
targetField.set(account, value)
}
}
}
//属性上没有PowerfulAnnotation注解
else {
//检查当前属性的类型
Object value = checkFieldType(jsonObject, fieldName, fieldClass)
//从目标对象中获取目标属性
Field targetField = account.getClass().getDeclaredField(field.getName())
targetField.setAccessible(true)//解除私有限制
System.out.println("直接将值[" + value + "]赋给目标对象的[" + fieldName + "]")
//将值赋值给目标属性
targetField.set(account, value)
}
System.out.println("*********************************************\n")
}
System.out.println("目标对象最终值:" + account)
}
/**
* 检查当前属性的类型
* (这里由于时间关系,我没有写全,只检查了String、int、boolean类型,全类型应包括boolean、char、byte、short、int、long、float、double,你有时间自己补充一下)
*
* 如果发现当前属性是一个对象,那么应该将JsonObject转换成对应的对象再返回(由于时间关系,这里我也没有试过,总之思路是这样)
*/
private static Object checkFieldType(JsonObject field, String fieldName, Class fieldClass) {
if (fieldClass == String.class) {
return field.get(fieldName).getAsString()
}
if (fieldClass == int.class) {
return field.get(fieldName).getAsInt()
}
if (fieldClass == boolean.class) {
return field.get(fieldName).getAsBoolean()
}
return new Gson().fromJson(field.get(fieldName), fieldClass)
}
}
代码还没写完,主要集中在没有对JsonArray进行处理,当json串里包含数组时会报错,另外一些没写完的我在注释里写了点,你可以参照一下。整体思路还是利用java反射机制进行。
以上代码运行结果:
