SnakeYaml反序列化漏洞利用分析(Java)

最新推荐文章于 2024-06-25 18:12:55 发布
最新推荐文章于 2024-06-25 18:12:55 发布
阅读量956 收藏 1
点赞数 2
文章标签: java 开发语言 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DevNinja/article/details/133007625
版权

SnakeYaml是一个流行的Java库,用于将YAML(YAML Ain’t Markup Language)数据转换为Java对象。然而,SnakeYaml在反序列化处理上存在安全漏洞,可能导致远程代码执行。本文将探讨SnakeYaml反序列化漏洞的原理,并提供相应的Java代码示例。

  1. 漏洞原理
    SnakeYaml的反序列化漏洞是由于其对自定义类型的处理不当而引起的。攻击者可以构造恶意的YAML数据,其中包含特定的类型和命令,以触发远程代码执行。漏洞的根本原因是SnakeYaml在反序列化时会调用Java对象的默认构造函数,并在之后调用setter方法来设置对象的属性值。如果自定义类型的setter方法中存在恶意代码,那么在反序列化时,该恶意代码将被执行。

  2. 漏洞利用示例
    下面是一个利用SnakeYaml反序列化漏洞的示例代码:

import org.yaml.snakeyaml.Yaml;

public class
最低0.47元/天 解锁文章
DevNinja
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java安全之SnakeYaml漏洞分析与利用
Yb528970805的博客
09-07 2153
SnakeYamlJava中解析yaml的库,而yaml是一种人类可读的数据序列化语言,通常用于编写配置文件等。yaml基本语法大小写敏感使用缩进表示层级关系缩进只允许使用空格表示注释支持对象、数组、纯量这3种数据结构示例key:companies:id: 1id: 2意思是 companies 属性是一个数组,每一个数组元素又是由 id、name、price 三个属性构成YAML 入门教程 | 菜鸟教程SnakeYaml库。
Java反序列化漏洞利用工具.zip
04-10
标题"Java反序列化漏洞利用工具.zip"表明该压缩包内包含了针对Java反序列化漏洞的利用工具,特别提到了针对JBOSS和WebLogic两个流行的Java应用服务器。JBOSS和WebLogic都是企业级的应用服务器,广泛用于部署各种业务...
snakeyaml从1.x升级2.x的方案
最新发布
h_and_g的博客
06-25 594
因公司漏洞扫描,发现SnakeYAML 反序列化漏洞(CVE-2022-1471),所以要求对SnakYaml进行升级。因项目中未直接引用snakyaml包,经分析是springboot引用的这个包。但是在这个项目中,springboot用的版本是2.3.12.RELEASE版本。这个版本引用的snakyaml的版本是1.26版本。
CVE-2022-1471 SnakeYaml漏洞分析
xillianpeng的专栏
04-28 894
原理:利用SPI机制,查找ClassPath路径下的META-INF/services中的文件,自动加载文件中定义的类。升级snakeyaml到2.0及以上版本,sprinboot升级后可能遇到的问题,参考。攻击方式:ScriptEngineManager链。
snakeyaml安全漏洞,需升级snakeyaml到2.0及以上版本
qq_37202188的博客
01-15 7134
snakeyaml安全漏洞,升级snakeyaml到2.0及以上版本
spring cloud SnakeYAML RCE 漏洞复现
为之的博客
11-17 2385
漏洞成因 通过/env post提交数据以设置属性spring.cloud.bootstrap.location为外部恶意yml文件,再通过/refresh获取yml文件内容并解析导致漏洞。 debug过程 由于最后是通过/refresh请求导致的,故这次从refresh相关代码开始,在RefreshEndpoint类中,有这么一段代码: @ManagedOperation public String[] refresh() { Set<String> keys = t
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
yaml反序化漏洞本地环境复现
11-23
yaml反序化漏洞本地环境复现 CTF 比赛中yaml反序劣化payloads有个!!的限制,当时没搞出来,事后大神透露需要借助tag, 于是就有了这个资源文件
Java反序列化漏洞静态分析与动态验证研究与实现
04-10
Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, 需要依赖代码审计人员的专业知识。 文章基于污点分析提出 种静态检测和动态验证的方法, ...
SnakeYaml反序列化
include_voidmain的博客
09-13 2482
SnakeYaml反序列化
[Java反序列化]—SnakeYaml反序列化
Sentiment的博客
11-20 2033
SnakeYaml是一个完整的YAML1.1规范Processor,用于解析YAML,序列化以及反序列化,支持UTF-8/UTF-16,支持Java对象的序列化/反序列化,支持所有YAML定义的类型。题目中添加了添加authc拦截器,/admin/*的请求会被拦截,但存在绕过如/admin/*/后边加个斜杠"\",即可绕过,所以访问/admin/hello/即可。,首先获取要调用的类名也就是SPI1,通过反射获取该类,接着通过newInstance进行实例化,并retrun返回。
漏洞深度分析|CVE-2022-1471 SnakeYaml 命令执行漏洞
LJQClqjc的博客
12-20 4896
棱镜七彩漏洞深度分析
Snakeyaml的一个bug
KimmKing的技术博客
11-18 732
Snakeyaml的一个bug 反序列化一个Properties类型,会直接当做Map处理。 就是说把 num: 1 变成一个String的key(num)和一个Integer的value(1),然后put到Properties对象,而不是使用setProperty方法。 java.util.Properties虽然是个继承HashTable的Map,但是一般我们都用setProperty和getProperty,这两个方法写死了只处理string。特别是getProprety里判断了一下如果value不
SnakeYaml 反序列化的一个小 trick
Sumarua的博客
03-28 965
背景 这是我在做某个代码审计项目时遇到的场景,一个 yaml 解析的功能使用了 snakeyaml 来处理 yamlsnakeyaml 一般情况下是可以直接进行反序列化攻击的。但这里它做了一个前提条件 —— “不允许 yaml 中存在 !!”。 打过 yaml 反序列化漏洞的人应该都知道 !! 就相当于 fastjson 里的 @type,用于指定要反序列化的全类名。 一旦 yaml 缺少了 !! 将无法再指定恶意的反序列化类,也就构不成代码执行的威胁了。 分析 !!javax.script.Scrip
反序列化漏洞
weixin_44940180的博客
08-15 162
反序列化 序列化serialize() 序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s); //把这个对象进行序列化 序列化后得到的结果是这个样子的:O:1:“S”:1:{s:4:“test”;s:7:“pikachu”;} //键值对 O:代表object ;1:代表对象名字长度为一个字符; S:对象的名称 ; 1:代
Java反序列化漏洞一般利用思路
09-22
### 回答1: Java反序列化漏洞一般利用思路是利用Java反序列化机制,将恶意序列化数据传递给目标系统,从而实现远程代码执行、拒绝服务等攻击。攻击者通常会构造恶意序列化数据,使其在反序列化过程中触发漏洞,从而执行恶意代码。为了防范此类攻击,可以采取一些措施,如限制反序列化对象的类型、使用安全的序列化库等。 ### 回答2: Java反序列化漏洞利用思路主要包括以下几个步骤: 1. 找到目标:攻击者首先需要找到运行了可利用Java反序列化漏洞的目标程序。这可以通过分析目标程序的代码、网络流量或者漏洞公开报告等途径进行。 2. 构造恶意序列化数据:攻击者需要构造恶意的序列化数据,这些数据会被目标程序读取并解析。攻击者可以使用一些工具或者手动编写代码来生成恶意序列化数据。 3. 选择合适的漏洞利用方式:根据目标程序的具体情况,攻击者可以选择合适的漏洞利用方式。常见的利用方式包括Java反序列化漏洞利用链,如利用未经过正确检验的反序列化的对象进行远程代码执行或者文件读写等操作。 4. 发送恶意序列化数据:攻击者需要将构造好的恶意序列化数据发送给目标程序。这可以通过网络连接、文件上传、内存注入等方式进行。 5. 触发反序列化:目标程序接收到攻击者发送的序列化数据后,会进行相应的反序列化操作。在解析过程中,如果存在漏洞,则恶意代码会被执行,导致安全问题。 6. 实现攻击目标:一旦恶意代码被执行,攻击者可以获得对目标程序的控制,从而进行进一步的攻击行为。这可能包括窃取敏感信息、执行任意代码、篡改数据等。 为了防范Java反序列化漏洞的利用,开发者可以采取一些措施,如使用安全的序列化和反序列化库、校验反序列化输入、限制反序列化操作的范围和权限等。同时,及时更新和修补已知的漏洞也是非常重要的。 ### 回答3: Java反序列化漏洞利用思路如下: 在Java中,对象的序列化是将对象转换为字节流的过程,而反序列化则是将字节流还原为对象的过程。反序列化漏洞是指攻击者通过构造恶意的序列化数据,再使用该数据进行反序列化操作,从而导致程序在反序列化的过程中触发各种安全漏洞。 通常的利用思路如下: 1. 找到存在反序列化漏洞的目标:通过静态代码分析、动态分析或源码审计等手段,找到存在反序列化漏洞的应用程序。 2. 构造恶意的序列化数据:攻击者通过修改或创建特定的序列化数据,来生成恶意的序列化数据。这些数据可能包含有害的代码或意外的操作。 3. 发送恶意数据进行反序列化:攻击者将构造好的恶意序列化数据发送给目标应用程序,并通过触发反序列化操作,将恶意数据还原为对象。此时,存在漏洞的应用程序会执行恶意代码,并可能导致安全问题。 4. 利用漏洞进行攻击:一旦恶意代码被执行,攻击者可以在目标系统上执行各种恶意操作,如执行任意命令、远程代码执行、获取敏感信息等。 为了避免被反序列化漏洞攻击,需要对反序列化操作进行安全措施,比如使用白名单机制限制可反序列化的类、对反序列化方法进行签名等。同时,定期更新和修复Java环境,以及对目标应用程序进行安全测试和代码审计,也是减少反序列化漏洞风险的重要措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值