1. Giới thiệu về Java Object Injection

1. Serialize

   1. Java cung cấp cho người dùng hàm writeObject để serialize các object.
   2. https://docs.oracle.com/javase/7/docs/api/java/io/ObjectOutputStream.html#writeObject(java.lang.Object)

   

2. Deserialize

   1. Để có thể đọc được dữ liệu đã được serialized từ ObjectInputStream ta sử dụng hàm readObject
   2. https://docs.oracle.com/javase/7/docs/api/java/io/ObjectInputStream.html#readObject()

   

3. Serialized data trong Java

   1. AC ED 00 05: Magic header của Java serialized object

      

   2. Thuộc tính (field) trong class Users là: name

      

   3. Ljava/lang/String; → kiểu dữ liệu String

      

   4. Giá trị của thuộc tính "name" là chuỗi "Guest”

      

   5. 73 → 's' (ký hiệu serialVersionUID trong stream). Kiểm tra version tương thích giữa serialized data và class hiện tại

      

2. Khai thác Java Object Injection

• Rủi ro sẽ đến với những đối tượng deserialize untrusted data.
• Attacker có thể tận dụng các magic method, cách vận hành của OOP để tạo ra một exploit chain hoàn chỉnh

1. Java’s Magic method

   • Tương tự như PHP thì JAVA cũng có 1 số các magic method mà chúng ta có thể lợi dụng :
     • Class Name() là phương thức của lớp Object, trả về đối tượng Class tại runtime
     • finalize**()**: Dọn dẹp trước khi Garbage Collector
     • toString(): Biểu diễn đối tượng dưới dạng chuỗi

   

2. Tùy chỉnh quá trình Serialize và Deserialize

   

   • Lập trình viên chỉ cần viết lại method: “readObject()” và “writeObject()”

   @WebServlet(name = "helloServlet", value = "/hello-servlet")
   public class HelloServlet extends HttpServlet {
   
       private String message;
       public String serializeToBase64(Serializable obj) throws IOException {
           ByteArrayOutputStream output = new ByteArrayOutputStream();
           ObjectOutputStream oos = new ObjectOutputStream(output);
           oos.***writeObject***(obj);
           oos.close();
           return Base64.getEncoder().encodeToString(output.toByteArray());
       }
   
       private static Object deserializeFromBase64(String s) throws IOException, ClassNotFoundException {
           byte[] data = Base64.getDecoder().decode(s);
           ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(data));
           Object o  = ois.***readObject***();
           ois.close();
           return o;
       }
   

   → Khi thực hiện serialize hoặc deserialize, JAVA sẽ tự động gọi đến các method này.

   3. Hình dạng của lỗi