探秘SerialKiller:JVM序列化绕过工具

最新推荐文章于 2024-05-15 03:08:46 发布
最新推荐文章于 2024-05-15 03:08:46 发布
阅读量328 收藏 5
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00054/article/details/138598593
版权

探秘SerialKiller:JVM序列化绕过工具

在这个信息安全日益重要的时代,我们不断寻找防范和应对攻击的新方法。今天,我要向大家推荐一个独特的开源项目——SerialKiller,它是一个专门用于Java反序列化漏洞利用链中的绕过技巧集合。这个项目由Alvaro Muñoz 和 Christian Schneider在RSA 2016大会上发布,旨在帮助安全研究者理解和防御Java反序列化攻击。

项目简介

SerialKiller 是一系列可以绕过"Look-Ahead ObjectInputStreams"防护的Java序列化利用设备(gadgets)。项目的目标是整合到著名的YSoSerial项目中,以提供更全面的反序列化攻击模拟与防御测试环境。

技术分析

该项目依赖于YSoSerial,并可视为其扩展,提供了一种新颖的方法来构建反序列化利用链。它需要特定版本的YSoSerial库以及Weblogic和WebSphere应用服务器的某些组件。通过这种方式,SerialKiller能够模拟真实环境中可能遇到的各种场景,使安全研究人员能更准确地评估潜在风险。

应用场景

SerialKiller适用于多种情况:

  1. 安全研究人员测试和分析Java反序列化防护的有效性。
  2. 开发人员验证自己的代码是否容易受到此类攻击。
  3. 教育领域,学习和理解Java反序列化的安全问题和防范措施。

项目特点

  1. 集成性强:设计为与YSoSerial无缝配合,未来将直接成为其中的一部分。
  2. 灵活性高:支持各种绕过技巧,适应不同防护机制。
  3. 实战模拟:包含了Weblogic和WebSphere等常见应用服务器的组件,接近真实的攻击环境。
  4. 易于使用:通过简单的命令行接口,即可执行预定义的payload和绕过策略。
  5. 研究价值:提供了学术资源,如论文和演讲材料,有助于深入学习反序列化攻击技术。

要尝试SerialKiller,请确保满足所有依赖项并按照README中的指示进行编译和运行。记住,这是一项为了防御目的的研究工具,应当在合法授权的情况下使用,切勿滥用。

总之,SerialKiller是Java反序列化安全领域的宝贵资源,对于任何关心这一领域的人来说,都是一个不容忽视的工具。让我们共同探索并加强我们的系统防护,阻止潜在的威胁。

伍辰惟
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
JVM内存模型和性能调优:JVM调优工具详解及调优实战:jstat调优小实战- 第40篇
悟纤学院
05-07 2万+
一、准备工作 准备一个工程jvm-full-gc,核心代码: @RestController public class IndexController { @RequestMapping("/user/process") public String processUserData() throws InterruptedException { ...
JVM内存模型和性能调优:JVM调优工具详解及调优实战:JVM运行情况预估 - 第39篇
悟纤学院
05-07 2万+
用 jstat gc -pid 命令可以计算出如下一些关键数据,有了这些数据就可以采用之前介绍过的优化思路,先给自己的系统设置一些初始性的JVM参数,比如堆内存大小,年轻代大小,Eden和Survivor的比例,老年代的大小,大对象的阈值,大龄对象进入老年代的阈值等。 (1)年轻代对象增长的速率 可以执行命令 jstat -gc pid 1000 10 (每隔1秒执行1次命令,共执行10次),...
rmi反序列化导致rce漏洞修复_JAVA反序列化漏洞解决办法
weixin_39527911的博客
12-23 508
一、漏洞描述:近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过...
SerialKiller:Java反序列化前瞻性库
02-05
连环杀手 SerialKiller是一个易于使用的前瞻性Java反序列化库,用于保护应用程序免受不受信任的输入的侵害。 当使用Java序列化在客户端和服务器之间交换信息时,攻击者可以用恶意数据替换合法的序列化流。 受启发,SerialKiller在命名解析期间检查Java类,并允许将黑名单/白名单组合使用以保护您的应用程序。 免责声明:此库可能(或可能不是)100%可以投入生产。 使用风险自负! 如何使用SerialKiller保护您的应用程序 下载最新版本的 。 另外,也可以在使用此库 在您的项目中导入SerialKiller's Jar 用SerialKiller替换反序列化Obj
java list 改变变量的值_项目中copy List 数据,解决修改值后改变原值问题(SerialKiller)...
weixin_36082987的博客
02-26 943
在copy 对像时,发现改变copy对象的属性值时,都会改变原值,方法如下:List a ;//a为方法参数中传进来的list;方法1:List b = new ArrayList(a);方法2:List b = new ArrayList(Arrays.asList(new A[a.size()]));Collections.copy(b, a);以上方法copy完毕后,经测试都会改变原list...
SerialKiller-0.4-all.jar
05-04
SerialKiller最新版 SerialKiller-0.4
SerialKiller
10-24
SerialKiller
Codeforces Round #400 (Div. 1 + Div. 2, combined)A. A Serial Killer【模拟】
mengxiang000000
02-24 497
A. A Serial Killer time limit per test 2 seconds memory limit per test 256 megabytes input standard input output standard output Our beloved detective, Sherlock is curre
Address already in use: JVM_Bind:80<null> 两种解决方案
小龙博客
02-11 1949
在maven工程中配置pom.xml时Tomcat配了80端口号结果报端口被占用,我首先是查看什么进程占用了这个端口 netstat -ano | findstr 80 接着是结束进程 taskkill /f /pid 4 结果出乎意料,杀不了进程,百度上好多都是说什么进程被占用,怎么kill,换了一种思路去百度,百度4号进程为什么kill不了,发现这个进程是系统进程不能kill,现在提供...
JVM内存模型和性能调优:JVM内存分配与回收:长期存活的对象将进入老年代- 第24篇
悟纤学院
04-24 2万+
一、长期存活的对象将进入老年代 既然虚拟机采用了分代收集的思想来管理内存,那么内存回收时就必须能识别哪些对象应放在新生代,哪些对象应放在老年代中。为了做到这一点,虚拟机给每个对象一个对象年龄(Age)计数器。 如果对象在 Eden 出生并经过第一次 Minor GC 后仍然能够存活,并且能被 Survivor 容纳的话,将被移动到 Survivor 空间中,并将对象年龄设为1。对...
JVM内存模型和性能调优:JVM调优工具详解及调优实战:Jstack - 第37篇
悟纤学院
05-07 2万+
查看线程 一、用jstack加进程id查找死锁 用jstack加进程id查找死锁,见如下示例DeadLockTest: public class DeadLockTest { private static Object lock1 = new Object(); private static Object lock2 = new Object(); ...
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1156
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
ssrf漏洞 java反_Java反序列化漏洞学习笔记
weixin_39536010的博客
02-13 754
1. Java反序列化漏洞学习笔记@author:alkaid1.1. 序列化与反序列化1.1.1. 基本概念一般而言我们是没办法直接转储对象的,只能将对象的所有属性一一访问,保存,取出时一一还原。序列化与反序列化就是为了解决这个问题,将整个对象的数据转储过程封装,对于使用者而言,相当于对象仅通过固定的几次调用即可还原。序列化: 对象转储成数据反序列化: 从数据种转储成对象1.1.2. 应用场景J...
java rmi反序列化安全漏洞问题解决方案
limingdepoxiao的博客
06-25 2368
解决方案 1、关闭javarmi服务的端口在公网的开放; 2、下载SerialKiller临时补丁,这个jar后放置于classpath,将应用代码中的java.io.ObjectInputStream替换为SerialKiller,之后配置让其能够允许或禁用一些存在问题的类,SerialKiller有Hot-Reload,Whitelisting,Blacklisting几个特性,控制了外部输入反序列化后的可信类型 例如:采用下载SerialKiller补丁,将IDoc2PdfUtilServic.
搭建一个java反序列化靶场
热门推荐
leeezp的博客
09-09 32万+
java反序列化漏洞研究需要。搭建一个java反序列化靶场。
搭建一个java反序列化靶场(1)
最新发布
2401_84972648的博客
05-15 906
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
java反序列化漏洞对策
邢立军的技术专栏
06-01 798
1)java反序列化漏洞请百度。 2)对策: ObjectInputStream.readObject()的地方改为 附件中的 SerialKiller.readObject()。 附件有2个文件: SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化 SerialKiller.java为ObjectInputStream的子类,覆盖了resol...
项目中copy List 数据,解决修改值后改变原值问题(SerialKiller)
weixin_33860737的博客
06-10 967
为什么80%的码农都做不了架构师?>>> ...
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 935
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

伍辰惟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值