补充:Java代码审计 - 反序列化漏洞

已于 2023-05-08 16:41:34 修改
阅读量529 收藏
点赞数
文章标签: java 安全
于 2022-12-01 16:05:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/feekee/article/details/128132803
版权

反序列化漏洞的危害是命令执行。

观察重写了readObject方法的函数是否有可触发存在漏洞的代码的逻辑。

如apache commons-collections 3.1漏洞出现的根源在 Commons-Collections 组件中对于集合的操作存在可以进行反射调用的方法,并且该方法在相关对象反序列化时并未进行任何校验。

 InvokerTransformer:

Transformer implementation that creates a new object instance by reflection.

关于shiro:

在一篇博客中看到,remember字符串事实上是对你登陆后的 Principal 进行了序列化后再Base64的结果,我看源码里面基本也是这样。

Principal 是 shiro 的一个概念,表示一个唯一的字符串能表示你这个用户的,假设你依照最简单的用户名password登陆的方式,而且使用的是 SimpleAuthenticationInfo 对象。那么这个 Principal 事实上就是一个字符串,就是你的用户名 username,这串东西解密出来就是你的username。

feekee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
java代码审计反序列化(代码执行)
糖小喵
05-06 514
前言 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。只有实现了 Serializable 和 Externalizable 接口的类的对象才能被序列化。 Java 程序使用 ObjectInputStream 对象的 readObject 方法将反序列化数据转换为 java 对象。但当输入的反序列化的数据可被用户控制,那么攻击者即可...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞分析
abg49988的博客
10-15 1390
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
Java代码审计——Fastjson1.2.25反序列化漏洞
王嘟嘟的博客
02-28 3927
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson 继1.2.24fastjson之后,对该漏洞进行了修复,从而有了Fastjson1.2.25反序列化漏洞 这里分为两类,一类是主动开启了AutoType,还有一类是未开启AutoType 0x01 1.2.25防护 我们这里以1.2.24的payload进行测试: String payload="{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"
java反序列化漏洞是怎么回事_Java审计之CMS中的那些反序列化漏洞
weixin_39631767的博客
02-25 166
Java审计之CMS中的那些反序列化漏洞0x00 前言过年这段时间比较无聊,找了一套源码审计了一下,发现几个有意思的点拿出来给分享一下。0x01 XStream 反序列化漏洞下载源码下来发现并不是源代码,而是一个的文件夹,里面都已经是编译过的一个个class文件。在一个微信回调的路由位置里面找到通过搜索类名Serialize关键字找到了一个工具类,并且参数是可控的。这里调用xstream.from...
java代码审计之浅谈Java反序列化漏洞修复方案
liguangyao213的博客
02-19 4098
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
weblogic--反序列化漏洞测试Test
10-19
2. **WebLogic反序列化漏洞原理**:攻击者可以创建恶意的序列化对象,这些对象包含可执行的代码片段。当WebLogic服务器在处理这些对象时,如果没有进行适当的验证,就会执行恶意代码。 3. **CVE漏洞编号**:...
deserialize-test:反序列化漏洞学习记录
05-01
在IT安全领域,反序列化漏洞是一种常见的安全隐患,尤其在Java编程环境中尤为突出。本学习记录将深入探讨Java中的反序列化漏洞,帮助你理解其原理、危害以及如何防范。 反序列化是对象持久化过程的一部分,它将之前...
Java反序列化漏洞静态分析与动态验证研究与实现
最新发布
04-10
随着互联网应用的兴起, Java的类库越来越多, 导致反序列化漏洞的类型和数量都急剧上升。 Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, ...
java反序列化漏洞利用
01-14
在实际的Java项目中,要时刻警惕这种潜在的威胁,并定期进行安全审计,以发现和修复可能存在的反序列化漏洞。同时,通过编写单元测试和集成测试,确保在开发阶段就能发现并修复这些问题。 最后,对于"5575757faga...
JAVA代码审计常用漏洞总结
12-11
主要代码审计方法是跟踪用户输入数据和敏感函数参数回溯: 跟踪用户的输入数据,判断数据进入的每一个代码逻辑是否有可利用的点,此处的代码逻辑 可以是一个函数,或者是条小小的条件判断语句。 敏感函数参数回溯,根据敏感函数,逆向追踪参数传递的过程。这个方法是最高效,最常用 的方法。大多数漏洞的产生是因为函数的使用不当导致的,只要找到这些函数,就能够快速挖掘想要的漏洞
Java代码审计——Fastjson1.2.24反序列化漏洞
王嘟嘟的博客
12-03 1962
0x00 前言 Fastjson是一个老生常谈的东西,但是之前整理的东西都比较简单和凌乱所以只能开篇重新进行整理,方便复习和学习。 0x01 环境 idea使用maven创建一个新的工程 1.修改pom 这里添加1.2.24版本的fastjson库 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 872
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
JAVA反序列化漏洞
m0_65096687的博客
05-22 152
一般JAVA进行序列化传输的过程中会使用base64编码或者16进制。java反序列化利用时候可以使用工具 ysoserial。序列化就是将对象的信息状态转为可以存储或传输形式的过程。反序列化就是从存储的数据重新转化为对象的过程。如何判断是否存在JAVA反序列化漏洞。如果发现以下特征的数据传输格式。就可以去尝试反序列化漏洞利用。JAVA中的序列化函数为。JAVA反序列化的函数为。可以生成payload。
Java代码审计安全篇-反序列化漏洞
m0_63138919的博客
03-15 1310
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
反序列化漏洞-JAVA
acepanhuan的博客
02-22 625
反序列化漏洞-JAVA
Java代码审计12之反序列化漏洞的审计与利用
划水的小白白
08-20 664
1、重点函数, 2、漏洞源码 3、利用工具 ysoserial 4、修复漏洞
Java反序列化漏洞实现(2)------------【Java基础】
YHJ
05-23 342
通过上篇我们明白了它的出现是怎么一回事,但是我们在上面实践的代码,你们有仔细想过吗? 那个反序列漏洞是如何在源码中来的? 我们再来一个实践: public static void main(String[] args) { /*under attacker's control*/ File f =new File(args[0]); ...
java反序列化漏洞(入门)
xiaoheizi的博客
07-02 772
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行反序列化代码,可以看到序列化的数据被还原了。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值