Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-24 05:33:33 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/pentesting-web/deserialization/basic-java-deserialization-objectinputstream-readobject.md
Translator workflow af42105553 Translated to French
2023-06-03 13:10:46 +00:00

7.2 KiB
Raw Blame History

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

Dans cet article, un exemple d'utilisation de java.io.Serializable sera expliqué.

Serializable

L'interface Java Serializable (java.io.Serializable) est une interface de marqueur que vos classes doivent implémenter si elles doivent être sérialisées et désérialisées. La sérialisation des objets Java (écriture) est effectuée avec ObjectOutputStream et la désérialisation (lecture) est effectuée avec ObjectInputStream.

Voyons un exemple avec une classe Personne qui est sérialisable. Cette classe réécrit la fonction readObject, donc lorsque n'importe quel objet de cette classe est désérialisé, cette fonction va être exécutée.
Dans l'exemple, la fonction readObject de la classe Personne appelle la fonction manger() de son animal de compagnie et la fonction manger() d'un chien (pour une raison quelconque) appelle un calc.exe. Nous allons voir comment sérialiser et désérialiser un objet Personne pour exécuter cette calculatrice :

import java.io.Serializable;
import java.io.*;

public class TestDeserialization {
    interface Animal {
        public void eat();
    }
    //Class must implements Serializable to be serializable
    public static class Cat implements Animal,Serializable {
        @Override
        public void eat() {
            System.out.println("cat eat fish");
        }
    }
    //Class must implements Serializable to be serializable
    public static class Dog implements Animal,Serializable {
        @Override
        public void eat() {
            try {
                Runtime.getRuntime().exec("calc");
            } catch (IOException e) {
                e.printStackTrace();
            }
            System.out.println("dog eat bone");
        }
    }
    //Class must implements Serializable to be serializable
    public static class Person implements Serializable {
        private Animal pet;
        public Person(Animal pet){
            this.pet = pet;
        }
        //readObject implementation, will call the readObject from ObjectInputStream  and then call pet.eat()
        private void readObject(java.io.ObjectInputStream stream)
                throws IOException, ClassNotFoundException {
            pet = (Animal) stream.readObject();
            pet.eat();
        }
    }
    public static void GeneratePayload(Object instance, String file)
            throws Exception {
        //Serialize the constructed payload and write it to the file
        File f = new File(file);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));
        out.writeObject(instance);
        out.flush();
        out.close();
    }
    public static void payloadTest(String file) throws Exception {
        //Read the written payload and deserialize it
        ObjectInputStream in = new ObjectInputStream(new FileInputStream(file));
        Object obj = in.readObject();
        System.out.println(obj);
        in.close();
    }
    public static void main(String[] args) throws Exception {
        // Example to call Person with a Dog
        Animal animal = new Dog();
        Person person = new Person(animal);
        GeneratePayload(person,"test.ser");
        payloadTest("test.ser");
        // Example to call Person with a Cat
        //Animal animal = new Cat();
        //Person person = new Person(animal);
        //GeneratePayload(person,"test.ser");
        //payloadTest("test.ser");
    }
}

Cet exemple a été pris sur https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649

Conclusion

Comme vous pouvez le voir dans cet exemple très basique, la "vulnérabilité" ici apparaît parce que la fonction readObject appelle d'autres fonctions vulnérables.

☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥