反序列化底层学习
前言
以前也是懒得学,觉得没有必要,学到现在发现好多东西都需要学习java的底层,而且很多漏洞都是通过反序列化底层挖出来的,比如weblogic的一些绕过,我这里也主要是为了学习weblogic来学习的,所以一些细节不关注
DEMO
import java.io.*;
public class Main {public static class Demo implements Serializable {transient String name;public Demo(String name) {this.name = name;}public static void main(String[] args) throws IOException, ClassNotFoundException {Demo demo = new Demo("nn0nkey");ObjectOutputStream outputStream = new ObjectOutputStream(new FileOutputStream("panda.out"));outputStream.writeObject(demo);outputStream.close();ObjectInputStream inputStream = new ObjectInputStream(new FileInputStream("panda.out"));inputStream.readObject();}}
}
反序列化分析
一般我们就知道反序列化会调用readobject方法,现在就好好分析一下readobject干了啥
首先判断是不是重载类型的,如果不是调用Object obj = readObject0(false);去恢复对象
readObject0方法会对不同的类型进行不同的处理,我这里是object类型的
readOrdinaryObject(unshared)我们继续看看是怎么处理的
内部调用ObjectStreamClass desc = readClassDesc(false);去读取我们的序列化流的描述信息,跟进
可以看到也是按照不同的类型去处理,有null,引用类型,代理类型,class类型
我们进入到class类型
return readNonProxyDesc(unshared);
先进行一个检查是不是class类型,然后实例化一个desc对象,desc的信息是通过readClassDescriptor读取的
跟进readClassDescriptor
跟进readNonProxy
这个方法是真正意义上的操作
系统会先从字节流中读取类名信息name = in.readUTF();,其次从字节流中读取serialVersionUID的信息,然后再从字节流中读取各种SC_*标记信息,通过该标记信息设置对应的成员属性,最后从字节流中读取每一个字段的信息这些字段信息包括:TypeCode、fieldName、fieldType
这里对应的方法是在序列化时使用的writeNonProxy方法,在writeNonProxy中写入的TypeCode、fieldName、fieldType在这里被读取。
然后回到我们的readNonProxyDesc,封装好我的信息之后使用resolveClass(readDesc)处理为class
resolveClass就是使用class.forname去加载
然后调用initNonProxy处理读取到的信息初始化
最后返回desc对象
回到readOrdinaryObject方法
关键在
做了一个判断desc.isExternalizable,如果序列化的接口是Externalizable类型,就进入readExternalData,否则进入readSerialData
如果我们的demo对象接口类型是Serializable,所以进入了readSerialData方法
readSerialData方法中用了反射进行调用反序列化对象的readObject方法
然后回到readSerialData,会反射调用readResolve方法
总结
那么多read方法,我们总结一下
readobject:单纯的入口点
readobject0:可以说是我们的readobject方法的具体逻辑点,会跟进不同的字节流选择不同的方法去处理
readOrdinaryObject:用来处理我们的object对象类型的,它用于调用序列化类中,readObject、readResolve、readExternal的方法会有一些选择
readClassDesc :分发用于处理字节流中TC_CLASSDESC的方法,用switch来选择需要处理的方法
readNonProxyDesc :真正用来处理字节流中的TC_CLASSDESC方法,会调用resolveClass进行创建反序列化的对象
resolveClass:是用Class.forName来创建对象的地方,在这里可以做一个检查校验,用于反序列化拦截。
readNonProxy:真正读取我们描述信息的方法
参考
https://www.cnblogs.com/yyhuni/p/15127416.html
https://www.cnblogs.com/yyhuni/p/15127416.html
eadNonProxy:真正读取我们描述信息的方法
参考
https://www.cnblogs.com/yyhuni/p/15127416.html
https://www.cnblogs.com/yyhuni/p/15127416.html
https://www.cnblogs.com/yyhuni/p/15127416.html
