反序列化漏洞

前提概要

本文章主要用于分享反序列化漏洞基础学习，以下是对反序列化漏洞的一些个人解析，请大家结合参考其他文章中的相关信息进行归纳和补充。

反序列化漏洞描述

反序列化漏洞是指程序在对输入的字节流进行反序列化时，因缺乏充分的验证和过滤，导致攻击者能构造恶意字节流，使程序在反序列化过程中执行恶意代码，如创建任意对象、执行系统命令、访问敏感信息等，进而可能造成获取敏感信息、执行任意代码、控制目标系统等危害。

反序列化漏洞原理

漏洞产生条件：当应用程序接收并反序列化不可信的数据时，如果没有对数据进行充分的验证和过滤，就可能导致反序列化漏洞。攻击者可以利用这个漏洞，构造恶意的序列化数据，在反序列化过程中执行任意代码、篡改对象状态或获取敏感信息。
攻击原理：不同的编程语言和框架在反序列化过程中可能存在不同的漏洞利用方式，但总体来说，攻击者主要是通过操纵序列化数据来达到攻击目的。例如，在一些编程语言中，反序列化过程可能会自动调用对象的特定方法，如构造函数、析构函数或其他自定义的初始化方法。攻击者可以通过构造恶意的序列化数据，使得在反序列化时调用这些方法，并在方法中执行恶意代码。

简单来说，第一是所提交参数为用户可控，第二是类中使用了魔术方法（魔法函数）

反序列化漏洞危害

远程代码执行：这是反序列化漏洞最严重的危害之一。攻击者通过构造恶意的序列化数据，在目标系统上执行任意代码。利用该漏洞，攻击者可以获取系统的最高权限，进而控制整个系统，如安装后门程序、窃取敏感信息、篡改系统文件等。
信息泄露：攻击者可以利用反序列化漏洞，篡改对象的状态或访问控制信息，从而获取敏感信息。例如，攻击者可以通过反序列化一个用户对象，修改其权限字段，使其具有管理员权限，进而访问系统中的敏感数据。
系统崩溃与拒绝服务：攻击者可以构造特殊的序列化数据，在反序列化过程中消耗大量的系统资源，如 CPU、内存等，导致应用程序崩溃或无法正常服务，造成拒绝服务攻击（DoS）。这种攻击不仅会影响系统的正常运行，还可能导致业务中断，给企业带来巨大的经济损失。
数据篡改：攻击者能够通过反序列化漏洞修改对象的属性值，从而篡改系统中的数据。例如，在一个电子商务应用中，攻击者可以通过反序列化一个订单对象，修改订单金额、商品数量等关键信息，实现非法获利。
权限提升：攻击者利用反序列化漏洞，可能会提升自己在系统中的权限。通过修改与权限相关的对象或参数，使原本没有高级权限的用户获得管理员或其他高级权限，从而突破系统的访问控制机制，对系统进行更深入的攻击。

反序列化漏洞风险评级

反序列化漏洞的风险评级通常为高风险，主要原因如下：

利用难度：在很多情况下，攻击者只需构造特定的恶意数据，通过网络发送给目标系统，就有可能触发漏洞，利用难度相对较低。
影响范围：该漏洞可能影响到整个应用系统，包括服务器、数据库以及与之相关的其他组件。一旦漏洞被利用，可能导致系统中的敏感信息泄露、数据被篡改，甚至整个系统被攻击者控制。
危害程度：会造成严重后果，如远程代码执行可让攻击者完全掌控系统，进行任意操作，包括窃取机密数据、破坏系统功能、植入恶意软件等，给个人、企业甚至国家层面带来巨大的损失和安全威胁。

反序列化漏洞验证

手动测试

识别序列化点
检查请求参数：分析应用程序的请求，查看是否存在包含序列化数据的参数。常见的序列化格式有 JSON、XML、Java Serialization 等。例如，若请求中有看起来像是经过编码或序列化处理的长字符串，就可能存在序列化数据。
分析响应内容：查看应用程序的响应，判断是否包含序列化数据。有些应用会在响应中返回序列化后的对象状态。

构造恶意数据测试
使用已知的利用链：针对不同的编程语言和框架，有一些公开的反序列化利用链。比如，在 Java 中常见的有 Commons Collections 利用链。你可以尝试使用这些利用链构造恶意的序列化数据，发送给应用程序，观察应用程序的反应。
模糊测试：通过工具或手动生成大量随机的、可能的恶意序列化数据，发送给应用程序进行测试。如果应用程序在处理这些数据时出现异常，如崩溃、报错等，就可能存在反序列化漏洞。

自动化检测

使用漏洞扫描工具
Nessus：它是一款功能强大的漏洞扫描器，能检测多种类型的漏洞，包括反序列化漏洞。它会对目标应用程序进行全面扫描，分析请求和响应，尝试发现潜在的反序列化漏洞。
Burp Suite：这是一款常用的 Web 应用程序安全测试工具，支持手动和自动化测试。可以利用其 Repeater 功能构造和发送恶意请求，使用 Scanner 功能对应用程序进行自动化扫描，查找反序列化漏洞。

代码审计工具
SonarQube：可对多种编程语言的代码进行静态分析，检测代码中可能存在的安全漏洞，包括反序列化漏洞。它会分析代码中的序列化和反序列化操作，检查是否存在不安全的实现。
Checkmarx：专注于代码安全审计，能够深入分析代码逻辑，发现潜在的反序列化漏洞。它可以识别代码中可能被利用的反序列化函数调用，并给出相应的风险提示。

日志与监控分析

应用程序日志：查看应用程序的日志文件，寻找异常的错误信息或崩溃记录。如果在反序列化操作附近出现异常，可能是由于处理恶意序列化数据导致的。
系统监控：通过系统监控工具，观察系统资源的使用情况。如果在接收到特定请求后，系统的 CPU、内存等资源使用量突然异常升高，可能存在反序列化漏洞被利用的情况。

反序列化漏洞利用

portswigger靶场

1.

2.

后续步骤如上题，复制url，拦截修改请求包中的cookie

3.

4.

靶场搭建

创建数据库

JAVA反序列化

Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞（CVE-2017-10271）

Weblogic WLS Core Components 反序列化命令执行漏洞（CVE-2018-2628）

反序列化漏洞修复

输入验证与过滤

严格检查输入数据：对所有进入反序列化流程的数据进行严格验证，只允许符合预期格式和规则的数据通过。比如，若使用 JSON 格式，可借助 JSON 解析库来验证输入是否为有效的 JSON 结构。
白名单机制：构建一个白名单，明确规定允许反序列化的类或对象类型。在反序列化之前，核查待反序列化的对象类型是否在白名单内，若不在则拒绝处理。像在 Java 里，可借助ObjectInputStream的resolveClass方法来实现白名单检查。
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectStreamClass;public class SafeObjectInputStream extends ObjectInputStream {private static final String[] ALLOWED_CLASSES = {"com.example.AllowedClass1", "com.example.AllowedClass2"};public SafeObjectInputStream(java.io.InputStream in) throws IOException {super(in);}@Overrideprotected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {for (String allowedClass : ALLOWED_CLASSES) {if (desc.getName().equals(allowedClass)) {return super.resolveClass(desc);}}throw new InvalidClassException("Unauthorized deserialization attempt", desc.getName());}
}
更新库和框架

及时打补丁：许多反序列化漏洞是因使用的库或框架存在安全缺陷导致的。及时关注官方发布的安全补丁，定期更新应用程序所依赖的库和框架，以修复已知的漏洞。
选择安全版本：在开发过程中，优先选用经过安全审计、稳定性高且维护良好的库和框架版本。

安全编码实践

避免使用不安全的反序列化方法：部分编程语言和框架提供的默认反序列化方法可能存在安全风险，应尽量避免使用。例如，在 Java 中，要谨慎使用ObjectInputStream进行反序列化操作。
重写反序列化逻辑：可以自己编写安全的反序列化逻辑，降低被攻击的风险。在反序列化过程中，对数据进行严格的验证和处理，避免直接使用不可信的数据来恢复对象状态。

加密和签名

数据加密：在序列化数据传输之前，对其进行加密处理，防止数据在传输过程中被篡改或窃取。接收方在反序列化之前先进行解密操作。
数字签名：为序列化数据添加数字签名，接收方在反序列化之前验证签名的有效性。若签名验证失败，则表明数据可能已被篡改，拒绝反序列化。

监控和审计

日志记录：详细记录反序列化操作的相关信息，包括输入数据、处理结果等。通过分析日志，能够及时发现异常的反序列化行为。
实时监控：利用入侵检测系统（IDS）或入侵防御系统（IPS）对反序列化操作进行实时监控，一旦发现异常，立即采取措施，如阻断请求、发出警报等。

反序列化漏洞相关名词

序列化：将对象转换为字节流的过程，以便在网络上传输或存储到文件中。
反序列化：与序列化相反，是将字节流恢复为对象的过程。
对象图：在反序列化过程中，描述对象及其关系的图形结构。
利用链：攻击者利用反序列化漏洞执行恶意代码的一系列操作步骤。
漏洞利用：攻击者利用反序列化漏洞来获取系统权限、执行任意代码或窃取敏感信息等行为。
安全漏洞：系统或应用程序中存在的弱点，可被攻击者利用以违反安全策略。
代码执行：攻击者通过利用反序列化漏洞在目标系统上执行任意代码的行为。
数据篡改：攻击者利用漏洞修改序列化数据，从而在反序列化后篡改对象的状态或系统中的数据。
信息泄露：由于反序列化漏洞，导致敏感信息被攻击者获取。
拒绝服务：攻击者通过构造恶意的序列化数据，使系统在反序列化过程中消耗大量资源，导致系统崩溃或无法正常服务。
白名单：在反序列化中，允许进行反序列化的类或对象的列表，只有在白名单内的才被允许处理。
黑名单：与白名单相反，列出不允许进行反序列化的类或对象，遇到黑名单中的项将拒绝反序列化。
输入验证：对进入反序列化流程的数据进行检查，确保其符合预期的格式和规则，以防止恶意数据进入。
安全编码：在编写代码时遵循安全规范和最佳实践，以减少反序列化漏洞等安全问题的出现。
加密：对序列化数据进行加密处理，防止数据在传输或存储过程中被窃取或篡改。
签名：为序列化数据添加数字签名，用于验证数据的完整性和来源，防止数据被篡改。
反序列化引擎：负责执行反序列化操作的软件组件或框架，如 Java 中的ObjectInputStream、Python 中的pickle模块等。
字节码注入：攻击者通过反序列化漏洞，将恶意字节码注入到目标系统中，以实现代码执行等攻击目的。
动态代码执行：利用反序列化漏洞，在运行时动态执行攻击者提供的代码，通常用于获取系统权限或进行其他恶意操作。
漏洞利用工具包：一些专门用于利用反序列化漏洞的工具集合，包含了各种攻击脚本和利用程序，方便攻击者进行漏洞利用。
漏洞扫描器：用于检测系统或应用程序中是否存在反序列化漏洞的工具，如 Nessus、Burp Suite 等。
代码审计：对应用程序的源代码进行检查，以发现其中可能存在的反序列化漏洞以及其他安全问题。
安全配置：针对反序列化相关的安全设置，如限制可反序列化的类路径、设置访问权限等，以增强系统的安全性。
沙盒环境：一种隔离的运行环境，用于限制反序列化操作的执行范围，防止恶意代码对整个系统造成破坏。
反射攻击：攻击者利用反序列化过程中的反射机制，调用敏感方法或修改对象的私有属性，从而实现攻击目的。
中间人攻击：攻击者在数据传输过程中拦截序列化数据，对其进行篡改或注入恶意代码，然后再将修改后的数据发送给目标系统，以触发反序列化漏洞。
内存马：通过反序列化漏洞植入到目标系统内存中的恶意代码，通常用于长期控制目标系统，且具有一定的隐蔽性。
远程代码执行漏洞（RCE）：反序列化漏洞可能导致的一种严重后果，攻击者可以通过远程发送恶意序列化数据，在目标系统上执行任意代码，获取系统控制权。
零日漏洞：指那些尚未被软件开发商知晓或尚未发布补丁的反序列化漏洞，攻击者利用这种漏洞进行攻击往往具有很强的隐蔽性和破坏性。
序列化格式：如常见的 JSON、XML、Protocol Buffers、Java Serialization 格式等，不同的格式在反序列化过程中可能存在不同的安全风险。
类型混淆攻击：攻击者通过构造特殊的序列化数据，在反序列化时导致对象类型被错误解析，从而执行非预期的代码路径，引发安全问题。