java反序列化漏洞(入门)

最新推荐文章于 2024-08-18 14:58:38 发布
最新推荐文章于 2024-08-18 14:58:38 发布
阅读量792 收藏 1
点赞数
分类专栏: 反序列化漏洞合集 文章标签: web安全 java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51345235/article/details/131503792
版权
文章介绍了Java对象的序列化和反序列化过程,以及它们在持久化和网络传输中的用途。提到了Java序列化的特征,如以特定字符串开头的字节流。此外,文章强调了反序列化漏洞,展示了如何通过控制输入构造恶意POC文件,利用工具Ysoserial生成payload,并通过DNS日志验证漏洞的存在。最后,文章总结了反序列化漏洞的原理,即攻击者可以操纵反序列化内容进行攻击。
摘要由CSDN通过智能技术生成

java序列化和反序列化的概念:

序列化:把Java对象转换为字节流的过程。

反序列化:把字节流恢复为Java对象的过程。

 

对象的序列化主要有两种用途:

把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中:(持久化对象)

在网络上传送对象的字节序列:(网络传输对象)

序列化函数接口:

Java: Serializable Externalizable接口、fastjson、jackson、gson、ObjectInputStream.read、

ObjectObjectInputStream.readUnshared、XMLDecoder.read、ObjectYaml.loadXStream.fromXML、

ObjectMapper.readValue、JSON.parseObject等

PHP: serialize()、 unserialize() 

Python:pickle

java序列化特征:

1、java序列化功能特性:

         反序列化操作一般应用在导入模板文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘、或DB存储等业务场景。因此审计过程中重点关注这些功能板块。

 

2、java序列化数据特性:

         一段数据以rO0AB开头,你基本可以确定这串就是JAVA序列化base64加密的数据。

或者如果以aced开头,那么他就是这一段java序列化的16进制。

 

3、java序列化出现具体位置:

        http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body

最低0.47元/天 解锁文章
xiaoheizi安全
关注
专栏目录
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3224
java反序列化参考
JAVA 反序列化攻击
weixin_33962621的博客
12-29 461
Java 反序列化攻击漏洞由 FoxGlove 的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。 由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也就意味着使用了这些包的服务器(目前发现有WebSphere, WebLog...
JAVA中的反序列化
最新发布
qa3629723的博客
08-18 680
Java 反序列化是序列化的逆过程,它允许程序从字节流中恢复对象状态。这个过程在分布式计算和对象持久化中非常重要。然而,反序列化也带来了安全风险,需要开发者谨慎处理。
Java反序列化漏洞分析
abg49988的博客
10-15 1402
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
Java 反序列化漏洞
qq_61553520的博客
05-24 5299
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
JAVA反序列化漏洞
KHOST的博客
05-11 599
Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
java反序列化漏洞入门总结.pdf
04-03
Java反序列化漏洞的根本原因在于对序列化数据缺乏有效的校验和控制。攻击者可以通过构造恶意的序列化数据来触发预设的行为,从而达到远程代码执行的目的。为了避免此类漏洞,开发者需要注意以下几点: - **输入验证*...
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
2401_83974064的博客
04-18 366
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
从零开始的JAVA反序列化漏洞学习(一)
qq_31028197的博客
12-04 3224
前言: 大概是决定复现CVE,第一个拿cve-2016-4437试试,但是之前没接触过JAVA,在历经磨难安装好IDEA maven和依赖环境,跟着各位师傅的教程调试源代码发现大佬们的教程都是跟到 可以控制传入readObject()的反序列化就没了,再细查便是什么CC4,CC3.1之类看上去很深奥的东西。深感基础不足,从头开始学JAVA的各种机制,如有疏漏不足请在评论中指出。 利用Java反射执行代码 Java反序列化是离不开Java的反射机制的,反射机制离不开Object类和Class类,关于反射已经
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复
2401_83739434的博客
04-14 742
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
Java反序列化漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
java反序列化漏洞工具
03-07
该工具用于验证weblogic反序列化漏洞是否存在,工具语言java
Java 反序列化攻击
weixin_30875157的博客
12-30 233
Java 反序列化攻击漏洞由FoxGlove 的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也就意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),...
Java反序列化漏洞—基础
洛柒尘的博客
03-15 426
前言 为了更接近目标(红队),需要先将常规打点的基础打好。虽说PHP很流行,但市场需求、语言特性和培训机构,工作中大多以Java为主,因此漏洞也是Java最多,所以学习JAVA漏洞非常有必要。 反序列化学习 最近目标:掌握Fastjson漏洞。 序列化过程 PHP class test{ //类 $flag = "flag{111}"; } $test = new test; //实例化 $data_s
Java反序列化漏洞
bylfsj的博客
05-31 1039
java反序列
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaoheizi安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值