1.什么是java序列化与反序列化？

1.1 序列化

Java 序列化是指把 Java 对象转换为字节序列的过程，以便于保存在内存、文件、数据库中，
例如：json序列化、XML序列化、二进制序列化、SOAP序列化、对象持久化存储（服务重启当前用户操作序列化保存到磁盘）

java.io.ObjectOutputStream 类中的**writeObject()**可以实现序列化。

1.2 反序列化

Java 反序列化是指把字节序列恢复为 Java 对象的过程。
java.io.ObjectInputStream 类中的 **readObject()**方法用于反序列化。

1.3 序列化条件

实现Serializable和Externalizable接口的类的对象才能被序列化。

2.漏洞原理

如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

3.漏洞危害

导致代码执行、文件操作、执行数据库操作等不可控后果

4.漏洞发现

存在于 WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 等等

1. HTTP请求中的参数，cookies以及Parameters。
2. RMI协议，被广泛使用的RMI协议完全基于序列化
3. JMX 同样用于处理序列化对象
4. 自定义协议 用来接收与发送原始的java对象

5.漏洞挖掘

• 确定反序列化输入点

  首先应找出readObject方法调用，在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找：

  1. 源码审计：寻找可以利用的“靶点”，即确定调用反序列化函数readObject的调用地点。

  2. 对该应用进行网络行为抓包，寻找序列化数据，如wireshark,tcpdump等

• 黑盒流量分析

  在Java反序列化传送的包中，一般有两种传送方式，在TCP报文中，一般二进制流方式传输，在HTTP报文中，则大多以base64传输。因而在流量中有一些特征：

  1. TCP：必有aced0005，这个16进制流基本上也意味者java反序列化的开始；
  2. HTTP：必有rO0AB，其实这就是aced0005的base64编码的结果；

  以上意味着存在Java反序列化，可尝试构造payload进行攻击。

• java的RMI

  RMI是java的一种远程对象（类）调用的服务端，默认于1099端口，基予socket通信，该通信实现远程调用完全基于序列化以及反序列化。

  1. 白盒代码审计
     • 观察实现了Serializable接口的类是否存在问题。
     • 观察重写了readObject方法的函数逻辑是否存在问题。

  再考察应用的Class Path中是否包含Apache Commons Collections库

6. 漏洞防御

• 通过Hook resolveClass来校验反序列化的类

  在readObject反序列化时首先会调用resolveClass读取反序列化的类名，所以这里通过重写ObjectInputStream对象的resolveClass方法即可实现对反序列化类的校验

• 类的白名单校验机制，对所有传入的反序列化对象，在反序列化过程开始前，对类型名称做一个检查，不符合白名单的类不进行反序列化操作

• 禁止JVM执行外部命令Runtime.exec，可以通过扩展 SecurityManager 可以实现

• 使用ObjectInputFilter来校验反序列化的类

  Java 9包含了支持序列化数据过滤的新特性，开发人员也可以继承java.io.ObjectInputFilter类重写checkInput方法实现自定义的过滤器，，并使用ObjectInputStream对象的setObjectInputFilter设置过滤器来实现反序列化类白/黑名单控制