如何使用 IDEA 调试分析 Java 反序列化漏洞

最新推荐文章于 2024-06-14 22:05:36 发布
原创 最新推荐文章于 2024-06-14 22:05:36 发布 · 2.8k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#idea调试 #fastjson漏洞分析

IDEA 是 Java 的集成开发环境,也是调试分析 Java 相关漏洞的神器,这篇文章将会介绍如何使用 IDEA 对 Java 反序列化漏洞进行分析,并以 Fastjson 反序列化漏洞的调试分析作为实战例子。

本次实验需要具备 Java 语言的基础,特别是反射方面的知识。

环境搭建

进行调试前,需要安装必要的环境

  1. JDK8
  2. IDEA

在下面的地址下载 JDK 8
https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html
在这里插入图片描述

在这里下载 IDEA 社区版本
https://www.jetbrains.com/idea/download/
在这里插入图片描述

下载好后直接安装jdk8 和 IDEA ,使用默认选项即可。

安装好 IDEA 后,打开IDEA ,点击 New Project

在这里插入图片描述

在新窗口中选择 Gradle 项目,Project SDK 处选择我们安装的 jdk 8,然后勾选 Java ,点击 Next 进入下一步。
在这里插入图片描述

输入项目名称,点击 Finish

在这里插入图片描述

耐心等待项目初始化完,也就是等待下面的进度条消失

在这里插入图片描述

初始化完后的页面如下,在左边的窗口出现了如下目录,其中 src 目录是存放源码的目录。

在这里插入图片描述

接下来创建一个类进行调试
在这里插入图片描述
在这里插入图片描述

输入 hello world 代码

public class Main {
   
   
    public static void main(String[] args) {
   
   
        System.out.printf("Hello World!");
    }
}

点击代码左边的绿色小箭头来运行代码

在这里插入图片描述

可以看到成功输出了 Hello World!

在这里插入图片描述

接下来开始配置实验环境,先通过配置项目构建工具 gradle 来加载存在漏洞的 fastjson 库,打开 build.gradle 文件,修改与以下内容,第14行处导入存在漏洞的 fastjson 库,版本号为 1.2.24, 然后点击右上角的 gradle 同步按钮,这样 gradle 就会自动下载该版本的 fastjson 作为库来使用。

plugins {
   
   
    id 'java'
}
​
group 'org.example'
version '1.0-SNAPSHOT'
​
repositories {
   
   
    mavenCentral()
}
​
dependencies {
   
   
    testCompile group: 'junit', name: 'junit', version: '4.12'
    compile 'com.alibaba:fastjson:1.2.24'
}

在这里插入图片描述

fastjson 用法

在进行漏洞调试前,我们先来看看 fastjson 的用法。fastjson 是一个阿里开发的一个操作 json 数据的库。

先创建一个 Person 类来演示 fastjson 的使用,该类是一个典型的 java bean , 实现了 setter 和 getter 方法(setter 和 getter 方法一般用于给对象的变量赋值,如 setAge 方法给 age 变量赋值),同时实现了 toString() 方法,便于打印实例对象。

public class Person {
   
   
    private int age;
    private String name;public int getAge() {
   
   
        System.out.println("call getAge function ");
        return age;
    }public void setAge(int age) {
   
   
        System.out.println("call setAge function ");
        this.age = age;
    }public void setName(String name) {
   
   
        System.out.println("call setName function ");
        this.name = name;
    }public String getName() {
   
   
        System.out.println("call getName function ");
        return name;
    }@Override
    public String toString() {
   
   
        return "Person{" +
                "age=" + age +
                ", name='" + name + '\'' +
                '}';
    }
}

在 Main 类中添加以下代码,第5-7 行处创建了 person 对象,年龄为18, 姓名为 Jenny。第 9 行处使用 JSONObject.toJSONString() 方法把 person 对象转化为 json 字符串。

import com.alibaba.fastjson.JSONObject;public class Main {
   
   
public static void main(String[] args) {
   
   
        Person person = new Person();
        person.setAge(18);
        person.
最低0.47元/天 解锁文章
ysoserial Java反序列化漏洞利用实践
悦分享
08-04 3926
ysoserial这款工具,堪称为“java反序列利用神器”。
漏洞挖掘】——65、IDEA文件信息泄露
Fly_鹏程万里
06-11 1246
人为失误:在IntelliJ IDEA中开发者可能会意外将敏感信息存储在配置文件中,例如:在代码模板中存储密码等版本控制:如果将.idea目录中的配置文件添加到版本控制系统中,这些敏感信息将会被公开,从而导致信息泄露的问题配置文件:.idea目录中包含了IntelliJ IDEA的配置文件,例如:项目配置、代码模板、插件配置等,在这些配置文件中可能会存储敏感信息,例如:密码、API密钥、证书等。
fastjson反序列化漏洞
wxh8893893的博客
05-18 3588
Fastjson多处补丁修补出现纰漏,Fastjson在1.2.68版本及以下,无需Autotype开启,或者可绕过autoType限制,攻击者即可通过json携带POC在使用Fastjson的服务器上进行远程代码执行。 {"x":{"@type":"java.net.InetSocketAddress"{"address":,"val":"test123.ceye.io"}}}
Fastjson存在0day漏洞
lyl_goahead的博客
03-28 1450
Fastjson的0day漏洞处理方法
Java 反序列化漏洞-Apache Commons Collections2-TemplatesImpl攻击链
cjdgg的博客
02-28 852
Java 反序列化漏洞-Apache Commons Collections2前言漏洞挖掘PriorityQueuePriorityQueue.readObject()PriorityQueue.heapify()PriorityQueue.siftDown()PriorityQueue.siftDownUsingComparator()TransformingComparator.compare()构造利用链 前言 前面分析了CC1,今天继续学习,分析下CC2。在 ysoserial中 CC2 是用的 P
Java序列化和反序列化idea
Fasty Blog
04-19 630
java中常用阿里巴巴的fastjson 和谷歌Gson进行json文件的解析和序列化。 为java项目添加解析json的jar包 maven仓库地址:https://mvnrepository.com/ 选择一个合适的版本,且选择包依赖,如这里我选择的是maven依赖,复制(注意不要复制第一行被注释的内容) 复制好之后 打开项目设置,点击+,并选择从maven添加,将之前...
发现一款牛逼的IDEA插件:检测代码漏洞,一键修复!
程序员闪充宝
02-04 2188
本插件作为Java项目静态代码安全审计工具,侧重于在编码过程中发现项目潜在的安全风险,并提供一键修复能力。本插件利用IDEA原生Inspection机制检查项目,自动检查当前活跃窗口的活跃...
反序列化漏洞例子——jackson反序列化漏洞调试分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-30 4079
文章目录反序列化例子漏洞原因漏洞条件enableDefaultTyping@JsonTypeInfo总结调试CVE-2017-7525(基于TemplatesImpl利用链)影响版本利用 Jackson 是用来序列化和反序列化 json 的 Java 的开源框架,Jackson 运行时占用内存比较低,性能比较好,且不依靠除JDK外的其他库。 反序列化例子 举一个jackson进行序列化和反序列化的例子,首先,我的依赖包如下所示: <!-- jackson --> <depe
反序列化漏洞例子——fastjson反序列化漏洞调试分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-28 5681
一直知道反序列化漏洞的大概原理和利用方式,但从来没有真正动手调试过,拿来主义终究不可取,于是就有了这篇文章,这里就以fastjson为例,为自己好好捋一捋,沉淀一下。 fastjson介绍 首先创建一个简单Student类: package fastjson; public class Student { private String name; private int age; public Student() { System.out.println("Stu
Java反序列化漏洞学习1--URLDNS
zyer
05-05 1357
上一篇文章我们可以了解到,我们想利用反序列化漏洞的话,必须找到一个类重写了readObject方法,然后反序列化的时候会将我们重写的readObject实例化,从而导致执行命令。 1.ysoserial的URLDNS 直接查看一下这款工具构造的payload是啥样的,工具自行下载,可以去github下载下来之后自己使用maven打包,或者有直接打包好的jar包,然后将它导入到idea中来 找到idea中的Project Structure,windows和mac位置不知道一样不一样, 然后按照如
vulhub+idea远程调试 实现漏洞分析
allinallp的博客
06-09 2151
vulhub+idea远程调试 实现漏洞分析学习使用场景:IDEA远程调试Docker配置远程调试:CVE-2020-1938docker-compose.yml配置idea配置::攻击执行:参考文章: 使用场景: 很多时候我们在漏洞环境搭建上面消耗了巨大的时间,之前偶然在网上看到了一篇文章关于vulhub的docker环境+idea实现weblogic漏洞远程调试分析的文章,后来想着试着把其他的vulhub里其他java语言相关的漏洞也尝试进行远程调试,下面分享一些环境的配置技巧。 IDEA远程调试
idea序列化自动生成_Apache Shiro 反序列化之殇
weixin_39950057的博客
11-26 651
文章来源:酒仙桥六号部队前言Shiro RememberMe RCE是护网常见的漏洞,因RememberMe值加密的原因,自带绕waf特性,安服仔使用起来极其舒适,之前也看过一些大佬们写的漏洞分析,看完之后有点疑问,比如,大佬说 偶然发现这个iv并没有真正使用起来,加密模式是AES/CBC的,在安服仔印象中该模式下必须要有iv值,iv值不可能没有使用,因此安服仔决定当一次(实习)研究仔...
web漏洞-. idea目录信息泄露
qq_35578446的博客
06-13 8693
攻击者可以通过分析数据包内容或使程序报错等方式获得网站敏感文件,从而有针对性的进行利用攻击,可能产生的危害包括不限于:SQL注入,代码执行,文件上传,社会工程学攻击等。
这款 IDEA 插件,检测代码漏洞,一键修复,真是太厉害了!这款 IDEA 插件,检测代码漏洞,一键修复,真是太厉害了!...
weixin_44421461的博客
11-12 1082
点击上方“Java基基”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2020超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析...
使用idea远程远程debug漏洞以及CNVD-2024-15077漏洞分析
最新发布
adorkablezhenbai的博客
06-14 516
成功下载后可以到vulhub目录下的/xxx(如aj-report)/CNVD-2024-15077/漏洞下进行docker-compose up -d 启动漏洞。最后在idea中把lib中对应的jar添加到依赖(有的还需要把对应的文件夹 META-INFO添加)即可开始远程debug。docker pull 的时候可能会超时修改docker image拉取的地址可以进行缓解。docker cp 把对应的源码拷出来,然后将文件复制到自己的本机上。到base对应漏洞下可以查看docker启动的命令。
idea for java漏洞提醒,Jar 包安全性提醒
程序员写的技术 FAQ 和杂文
04-11 1263
idea 的 pom.xml 文件编辑时会的黄色下划线提醒。鼠标停在上面后会弹出安全性提醒有时会有可以升级到的版号提醒。如图,有时没有可升级提醒。只是列出了当前版本和安全问题信息。
fastjson safemode_fastjson_safemode
weixin_42556197的博客
01-14 7656
打开SafeMode功能在1.2.68之后的版本,在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,完全禁用autoType。所有的安全修复版本sec10也支持SafeMode配置。有三种方式配置SafeMode,如下:1. 在代码中配置ParserConfig.getGlobalInstance().setSafeMode(true);注意,如果使用ne...
2024年Fastjson开启安全模式5种方法(VIP典藏版)(1),2024年最新网络安全开发热门前沿知识
05-10 1761
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
Apache Shiro 反序列化漏洞分析调试
接着启动Tomcat服务器,这样就可以在IntelliJ IDEA中配置远程调试连接。 在Shiro的登录功能中,当用户成功登录时,`AbstractRememberMeManager#onSuccessfulLogin`方法会被触发。如果用户勾选了“记住我”...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值