(Java)XMLDecoder反序列化漏洞

最新推荐文章于 2024-07-15 22:02:35 发布
最新推荐文章于 2024-07-15 22:02:35 发布
阅读量5.2k 收藏 4
点赞数 1
分类专栏: Web安全 漏洞 Java 文章标签: 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SKI_12/article/details/85058040
版权
本文详细探讨了Java中的XMLDecoder反序列化漏洞,涵盖了基本概念、影响版本、示例演示、调试分析、检测方法和防御策略。通过分析,揭示了XMLDecoder如何在不同版本的JDK中引发安全风险,并展示了利用Payload启动计算器的Demo。同时,文章通过调试跟踪,解释了从XML解析到触发漏洞的关键步骤,指出DocumentHandler类是问题的根本。建议通过限制XML文档来源和使用白名单策略来防止此类漏洞。
摘要由CSDN通过智能技术生成

基本概念

XMLDecoder用于将XMLEncoder创建的xml文档内容反序列化为一个Java对象,其位于java.beans包下。

 

影响版本

XMLDecoder在JDK 1.4~JDK 11中都存在反序列化漏洞安全风险。

 

Demo

import com.sun.beans.decoder.DocumentHandler;
import org.xml.sax.helpers.DefaultHandler;

import javax.xml.parsers.SAXParser;
import javax.xml.parsers.SAXParserFactory;
import java.io.BufferedInputStream;
import java.io.File;
import java.io.FileInputStream;
import java.beans.XMLDecoder;

public class test {

    public static void XMLDecode_Deserialize(String path) throws Exception {
        File file = new File(path);
        FileInputStream fis = new FileInputStream(file);
        BufferedInputStream bis = new BufferedInputStream(fis);
        XMLDecoder xd = new XMLDecoder(bis);
        xd.readObject();
        xd.close();
    }


    public static void main(String[] args){
        //XMLDecode Deserialize Test
        String path = "poc.xml";
        try {
            XMLDecode_Deserialize(path);

//            File f = new File(path);
//            SAXParserFactory sf = SAXParserFactory.newInstance();
//            SAXParser sp = sf.newSAXParser();
//
//            DefaultHandler dh = new DefaultHandler();
//            DocumentHandler dh = new DocumentHandler();
//            sp.parse(f, dh);

        } catch (Exception e) {
            e.printStackTrace();
最低0.47元/天 解锁文章
Mi1k7ea
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Weblogic_XMLDecoder反序列化漏洞_CVE-2017-10271(未完待续)
simonnews的博客
05-14 303
Weblogic_XMLDecoder反序列化漏洞_CVE-2017-102711 漏洞概述1.1 基础知识1.2 漏洞概述1.3 影响版本2 漏洞原理分析3 漏洞复现4 漏洞修复5 其他6 参考 1 漏洞概述 1.1 基础知识 1.2 漏洞概述 1.3 影响版本 webLogic 10.3.6.0、12.1.3.0、12.2.1.1 、12.2.1.2版本 2 漏洞原理分析 调用栈 weblogic.wsee.jaxws.workcontext.WorkContextServerTube->p
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
【研究】weblogic漏洞系列XMLDecoder 反序列化漏洞(CVE-2017-10271)
god_Zeo的安全博客
08-15 529
【研究】weblogic漏洞系列- 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271)1.环境2.原理3.影响版本4.利用过程 1.环境 环境 https://github.com/vulhub/vulhub/blob/master/README.zh-cn.md 这个搭环境很方便快捷,具体可以看说明,很简单 2.原理 Weblogic的WLS Securit...
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1134
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
XMLDecoder反序列化漏洞
weixin_34080951的博客
09-01 173
Java 调用XMLDecoder解析XML文件的时候,存在命令执行漏洞。样例XML文件如下所示:<?xmlversion="1.0"encoding="UTF-8"?> <javaversion="1.8.0_131"class="java.beans.XMLDecoder"> <objectclass="java.lang.Pro...
Weblogic XML Decoder反序列化漏洞(CVE-2017-10271)
Kevin's Blog
06-10 631
文章目录一、漏洞介绍1.1 漏洞详情1.2 影响版本二、环境搭建三、攻击过程3.1 信息收集 一、漏洞介绍 1.1 漏洞详情   Weblogic的WLS Security组件组件对外提供webservice服务,其中使用XMLDecoder解析用户传入的XML数据,在解析过程中存在反序列化漏洞。 1.2 影响版本 受影响的Weblogic版本如下: 10.3.6.0.0 12.1.3.0.0 12.2.1.1.0 12.2.1.2.0 二、环境搭建 受害者:192.168.159.129(vulhu
Weblogic xmlDecoder反序列化漏洞
buffedon的博客
08-04 1818
Weblogic xmlDecoder反序列化漏洞Weblogic xmlDecoder漏洞分析CVE-2017-3506CVE-2017-10271环境搭建漏洞探测漏洞利用其他PoC Weblogic xmlDecoder CVE-2017-10271 影响版本 Weblogic < 10.3.6 ‘wls-wsat’ XMLDecoder 反序列化漏洞(CVE-2017-10271) Oracle WebLogic Server12.2.1.1 Oracle WebLogic Server12.2
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
javaRMI反序列化漏洞验证工具
08-21
**Java RMI反序列化漏洞概述** Java RMI的反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到未经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程...
CVE-2017-10271(JAVA XMLDecoder反序列化专用工具).zip
06-22
测试专用
WebLogic XMLDecoder反序列化漏洞-CVE-2017-10271
m0_49025459的博客
06-05 390
​WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。漏洞url: http://:7001/wls-wsat/CoordinatorPortType通过构造SOAP(XML)格式的请求,在解析的过程中导致X...
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)
huangyongkang666的博客
07-25 1270
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)
【代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
2401_84302369的博客
05-02 859
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
XXE漏洞详解(一)——XML基础
永远是少年
12-22 418
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE漏洞详解(一)——XML基础。 一、XML简介 二、XML语法规则 (一)XML基本语法 (二)XML注释 (三)XML属性 (四)XML特殊字符处理
(39.1)【XML漏洞专题】必备的基础知识、利用原理、构建规则
04-24 1842
【专题】XML利用必备基础知识
XML 相关漏洞风险研究
有价值炮灰
06-03 1808
使用了这么久 XML,但是对其内部细节却不甚了解,本文就来补全这个缺憾。
关于xml的解析
Above_my_point的博客
06-03 393
xml的解析:xml是标记型语言xml的解析方法:dom和sex使用dom和sex解析xml的解析过程:dom解析分析:根据xml的层级结构,在内存中分配一个树形结构,把xml中的标签、属性和文本都封装成对象。优点:对于增删改操作很方便。缺点:如果xml文件过大,会造成文件的溢出。sex解析分析:采用事件驱动,边读边解析从上到下,一行一行的解析,解析到某个对象,把对象名称返回。优点:不会造成内存溢...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值