php&Java反序列化与xxe&xml

最新推荐文章于 2023-09-20 11:38:10 发布
最新推荐文章于 2023-09-20 11:38:10 发布
阅读量358 收藏
点赞数
分类专栏: 小迪安全学习日志 文章标签: java 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61786761/article/details/126529322
版权

php反序列化
1.原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化的过程。从而导致代码执行,sql注入,目录遍历等不可控的后果。在反序列化的过程中自动触发了某些
魔术方法。当进行反序列化的时候就有可能触发对象中的一些魔术方法。
serialize() :将一个对象转换成一个字符串。
unserialize() :将字符串还原为一个对象。

2.技术
 有类: 触发魔术方法: -construct,destruct,wakeup,tostring……
 无类:

3.危害:sql注入,代码执行,目录遍历

Java反序列化
1.序列化和反序列化
  序列化:将对象的状态信息转换为可以存储或传输的形式的过程。
 反序列化:从存储区中读取该数据,并将其还原为对象的过程。

2.序列化标志参考
 一段数据以rooab开头,你基本可以确定这串就是Java序列化base64加密的数据。
 一段数据以aced开头,那么它就是这一段Java序列化16进制。

3.payload生成工具:ysosrerial

xxe与xml之利用检测绕过全解
1.玩法-读软件
<?xml version="1.0" ?>
<!DOCTYPE ANY [
    <!ENTITY xxe system "file://d://test.txt">
]>
<x>&xxe;</x>

2.玩法-内网探针或攻击内网应用(触发漏洞地址)
3.玩法-rce
 该case是在安装expect扩展的php环境里执行系统命令。

4.引入外部实体dtd<类似引入远程读取>
5.无回显-读文件
 用它访问外部实体,再开启外部自己的购买服务器日志,从而获得回显。

6.协议读文件绕过
参考:http://cnblogs.com/201752111yz/p/11413335.html
<?xml version="1.0" ?>
<DOCTYDE ANY [C!ENTITY f SYSTEM
    "php://filter/read=convert.base64-encode/resource=xxe.php">]>
<x>&f;</x>

  (1).编码方式绕过:utf-16be  [当system,file等词被过滤]
  (2).data://协议绕过  [当http 被过滤]
      file://协议+文件上传
      php://filter协议+文件上传
7.xxe漏洞发现
  人工:数据格式类型判断
           content-type值判断   a. text/xml     b. application/xml
           更改content-type值看返回。

8.推荐一个攻击机(环境变量齐全):ninjustu

9.xxe注入工具:xxeinjector   备注:需要ruby环境
  参考:http://github.com/enjoiz/xxeinjector  
                                  

ee .
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java任意文件读取漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-18 1063
java任意文件读取漏洞除了Java本身的文件读取函数FileInputStream、XXE导致的文件读取,Java的一些模块也支持“file://”协议,这是Java应用中出现任意文件读取最多的地方,如Spring Cloud Config Server路径穿越与任意文件读取漏洞(CVE-2019-3799)、Jenkins任意文件读取漏洞(CVE-2018-1999002)等。 Javajava任意文件读取函数 Java本身的文件读取函数FileInputStream、XXE导致的文件读取。 Java
File文件类,序列化及反序列化知识点
qq_45796208的博客
08-23 1005
File对象代表什么? 1、文件和目录路径名的抽象表示。 2、一个File对象有可能是对应的目录,也可能是一个文件。 3、File类中常用方法:
SSRF漏洞(利用file协议读取本地文件)
最新发布
Battery的博客
09-20 9万+
当利用SSRF漏洞时,攻击者可以通过构造恶意请求来读取本地文件。其中一种方法是使用file协议来读取本地文件。例如,file:///etc/passwd是一个常见的示例,它用于读取Linux系统上的passwd文件。passwd文件是Linux系统中用于存储用户账户信息的文件,其中包含了所有用户的用户名、密码和相关配置信息。攻击者可以利用SSRF漏洞,构造一个恶意的请求,通过服务端向file:///etc/passwd发送请求,从而读取该文件的内容。。
一篇文章读懂Java代码审计之XXE
Summer's blog
05-13 1万+
前言   学习总结Java审计过程中笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
XXE漏洞 解决方案(JAVA版本)
goldDaNiu的博客
07-05 9315
/**      * 解析xml,返回第一级元素键值对。如果第一级元素有子节点,则此节点的值是子节点的xml数据。      * @param strxml      * @return      * @throws JDOMException      * @throws IOException      */      public static Map doXMLParse(String...
java xxe漏洞利用_JAVAXXE漏洞
weixin_30445963的博客
03-09 2020
1. XXE简介XXE(XML外部实体注入,XML External Entity) ,漏洞在对不安全的外部实体数据进行处理时,可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说,如果系统能够接收并解析用户的XML,但未禁用DTD和Entity时,可能出现XXE漏洞,常见场景如pdf在线解析、word在线解析、定制协议或者其他可以解析...
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
Java CTF夺旗:反编译、XXE反序列化详解】 在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXEXML External Entity)攻击、反序列化...
JAVA XML 解析
05-14
JAXB(Java Architecture for XML Binding)是Java标准,用于在Java对象和XML之间自动进行序列化和反序列化。通过注解或绑定文件,JAXB可以将XML文档转换为Java对象,反之亦然。`javax.xml.bind.JAXBContext`和`...
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
1. **禁用外部实体**:在编程语言中,如PHP的`libxml_disable_entity_loader(true)`,Java的`DocumentBuilderFactory.setExpandEntityReferences(false)`,Python的`etree.XMLParser(resolve_entities=False)`。...
Java&XML应用
04-10
6. **XML与Web服务**:Java的JAX-WS(Java API for XML Web Services)和JAX-RS(Java API for RESTful Web Services)允许创建基于XML的Web服务。JAX-WS用于SOAP(简单对象访问协议)服务,而JAX-RS支持RESTful风格...
SCAN_XXE:利用XML XXE漏洞
05-07
XML External Entity(XXEXML外部实体)漏洞是一种常见的安全问题,主要出现在处理XML输入的Web应用程序中。这种漏洞允许攻击者通过恶意构造的XML文档,来读取服务器的内部文件、执行系统命令或者进行DoS(拒绝...
windows文件读取 xxe_java xxe漏洞
weixin_39525255的博客
12-22 328
一、XXE漏洞简介1、XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。2、Java中的XXE支持sun.net.www.protocol 里的所有协议:http,https,file,ftp,mailto,jar,netdo...
关于JavaXXE 的利用限制探究
A_991128a的博客
02-03 256
一般而言,在Java里碰到XXE,如果是有回显的,那自然很好办,如果是没有回显,那就需要我们构造通道来把数据带出,过去在XXE利用中,如果单纯使用HTTP协议(除了作为结尾的CRLF外,不允许出现单独的CR或LF字符),是无法读取具有换行的文件的。这是因为xml在解析的时候,会把实体进行替换,带有单引号的文件内容在拼接进字符串之后,单引号与send实体的单引号进行了闭合,然后后面的数据就变成了无效数据。总的来说,如果是php环境,那自然是万事大吉,但是在java环境中,如果。
XXE漏洞
huangyongkang666的博客
03-29 2360
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
php伪协议漏洞,php文件包含+伪协议+文件上传漏洞利用实例
weixin_42524883的博客
03-17 451
1.上传文件过滤了后缀名和MIME类型,$_FILES['pic']['type']是由浏览器传输的文件类型决定,但是mime_content_type()是由php内置方法判断文件类型;支持文件类型为application/zip,支持上传zip压缩文件,后缀名还是要改成.jpg或.gif,上传后将该名为随机数字(1499394959).jpg格式$name1=substr($name,-4);...
php文件上传+文件包含(phar伪协议)
WFC1006848997的博客
11-22 5266
test.bugku-web-upload—文件上传与文件包含组合 右键查看源码发现 继续查看源码,提示参数是file,还有一个upload.php 跟进upload.php,是个上传界面 那就可以猜测出是 文件上传与文件包含的组合,所以直接先使用伪协议查看源码,使用的是php://filter协议 php://filter/convert.base64-encode/resource= 首先读取include.php的源码 发现后缀多了一个.php,所以就不加.php了 base64解码 &l
php://filter协议在任意文件读取漏洞中的利用(学习总结)
L2329794714的博客
11-12 3183
一、php://协议 官网解释为: php://—AccessingvariousI/O streams PHP provides a number of miscellaneous I/O streams that allow access to PHP's own input and output streams, the standard input, output and error file descriptors, in-memory and disk-backe...
XXE/RCE/序列化反序列化
hk41666的博客
07-17 1598
这几个学得都有点蒙,学得不是很认真,学不下去感觉。不知道学了些什么,也可能是自己身体原因。挺痛苦的。
php 序列化 和java序列化一样结果么,什么是java的序列化
weixin_42715608的博客
04-14 168
java的序列化是将Java对象转换成字节流的过程。当Java对象需要在网络上传输 或者 持久化存储到文件中时,就需要对 Java 对象进行序列化处理。序列化的实现:类实现 Serializable 接口,这个接口没有需要实现的方法。实现 Serializable 接口是为了告诉 jvm 这个类的对象可以被序列化。 (推荐学习:java课程)注意事项:某个类可以被序列化,则其子类也可...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ee .

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值