search

17.XMLDecoder反序列化

hashtag
0x01 前言

之前我们接触过java比较基础且普遍的一种反序列化,但是在java中反序列化的形式并不是那么单一,今天我要要介绍的就是XMLDecoder这个类的序列化以及反序列化。

hashtag
0x02 XMLDecoder介绍

这个类是jdk自带的,位置是java.beans.XMLDecoder , 这个类的序列化就是将java对象转换成xml文件,反序列化是把特定格式的xml文件转换成java对象。

我们还是用一个小demo来熟悉下它的使用方式。

创建一个类,类里面有两个方法,一个是序列化操作,一个是反序列化操作

import java.beans.XMLDecoder;
import java.beans.XMLEncoder;
import java.io.*;

public class XMLTest{
    // 序列化对象到文件person.xml
    public void xmlEncode() throws FileNotFoundException {
        Person person = new Person();
        person.setAge(18);
        person.setName("axin");
        XMLEncoder xmlEncoder = new XMLEncoder(new BufferedOutputStream(new FileOutputStream("person.xml")));
        xmlEncoder.writeObject(person);
        xmlEncoder.close();
        System.out.println("序列化结束!");
    }

    // 反序列化
    public void xmlDecode() throws FileNotFoundException {
        XMLDecoder xmlDecoder = new XMLDecoder(new BufferedInputStream(new FileInputStream("person.xml")));
        Person person = (Person)xmlDecoder.readObject();
        xmlDecoder.close();
        person.sayHello();
        System.out.println("反序列化成功!");
    }

    public static void main(String[] args) throws FileNotFoundException {
        XMLTest xmlTest = new XMLTest();
        xmlTest.xmlEncode();
        xmlTest.xmlDecode();
    }
}

其中Person类如下:

运行XMLTest类,会在当前工程目录下生成一个person.xml文件,并且终端会打印调用sayHello方法的结果

序列化生成的xml文件格式如下:

反序列化上述的xml文件,然后执行sayHello方法

hashtag
0x03 利用方法

我们已经得知XMLDecoder常见的序列化与反序列化的方法,那么怎么利用呢?

我们可以利用其反序列化机制执行任意对象的任意命令,例如构造如下xml文件:

上述xml文件如果被反序列化会执行ProcessBuilder的start方法,弹个计算器

hashtag
其他

这一章只是简单的XMLDecoder反序列化的原理,同样的,我还是会找一个案例来帮助大家更清晰的认识该漏洞,当然,换汤不换药,漏洞的发生场景变了,本质是不变的~

下一章,我们就看看weblogic中的XMLDecoder反序列化漏洞吧

Previous16.XXE之setFeature防御Next18.Weblogic之XMLDecoder反序列化1_CVE-2017-3506

Last updated