JAVA反序列化漏洞学习

最新推荐文章于 2024-06-03 10:50:40 发布
最新推荐文章于 2024-06-03 10:50:40 发布
阅读量326 收藏 2
点赞数 1
分类专栏: Web安全 文章标签: java maven eclipse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36495104/article/details/108314016
版权

拖了很久,迟早是要学的

环境配置

配置Maven

windows下安装配置Maven

下载地址:

https://archive.apache.org/dist/maven/maven-3/
在这里插入图片描述

参考链接里,作者说不建议下载太高版本,经笔者测试,3.6.3 idea报错,解决方案就是降版本。我用的eclipse没问题。

解压后,在conf目录找到settings.xml,修改local repo以及换镜像
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

	<mirror>  
		<id>alimaven</id>  
		<name>aliyun maven</name>  
		<url>http://maven.aliyun.com/nexus/content/groups/public/</url>  
		<mirrorOf>central</mirrorOf>          
     </mirror>

配置环境变量,查看参考链接里的就行了,很详细

使用eclipse来新建maven项目

eclipse中创建maven项目,创建项目后如果报错

CoreException: Could not get the value for parameter compilerId for plugin e...

按ALT+F5勾选Force Update of Snapshots/Releases,然后关闭eclipse,就会自动下载需要的文件。
在这里插入图片描述

添加漏洞组件

按照参考链接创建好maven项目后,在项目的文件夹里有一个pom.xml,添加我们需要的组件

	<dependency>
	    <groupId>commons-collections</groupId>
	    <artifactId>commons-collections</artifactId>
	    <version>3.1</version>
	</dependency>

然后在包含pom.xml的目录下打开命令行窗口,执行下面的命令,maven就会去下载我们要的组件

call mvn -f pom.xml dependency:copy-dependencies

漏洞原理探究

参考
Java反序列化漏洞的原理分析
对如下利用链进行跟踪分析

BadAttributeValueExpException 中的属性 Object val --> TiedMapEntry
TiedMapEntrytoString() 方法调用了自身map属性的getValue() 方法 --> LazyMap
LazyMap的getValue拿到的必然是一个空对象,因此会触发LazyMap属性中配置的Transformer.transform()
Transformer 是我们构建的包含有恶意代码的对象

Java中的反射
Student 类


public class Student {
   

	public void show(String s){
   
		System.out.println("s=" + s);
	}
}

fanshe类,可以看到并没有import student类,但是可以通过Class.forName("Student");来获取Student类,并通过getMethod方法来获取Student类的方法,最终调用该方法


import java.lang.reflect.Method;
public class  fanshe{
   


	public static void main(String[] args) throws Exception {
   
		Class stuClass = Class.forName("Student");
		Method m = stuClass.getMethod("show", String.class);
		System.out.println(m);

		Object obj = stuClass.getConstructor().newInstance();
		m.invoke(obj, "2333");

	}
	

}

在这里插入图片描述

TransformedMap
TransformedMap是Commons-collections 3.1提供的一个工具类,用来包装一个Map对象,并且在该对象的Entry的Key或者Value进行改变的时候,利用Transformer提供的转换操作对该Key和Value进行转换。

当TransformedMap对象执行setValue方法时会调用valueTransformer的transform方法,如果传入的valueTransformer是ChainedTransformer的对象,可以造成恶意代码执行。

...
public class TransformedMap
        extends AbstractInputCheckedMapDecorator
        implements Serializable {
   

    /** Serialization version */
    private static final long serialVersionUID = 7023152376788900464L;

    /** The transformer to use for the key */
    protected final Transformer keyTransformer;
    /** The transformer to use for the value */
    protected final Transformer valueTransformer;
...
    public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer) {
   
        return new TransformedMap(map, keyTransformer, valueTransformer);
    }

    protected TransformedMap(Map map, Transformer keyTransformer, Transformer valueTransformer) {
   
        super(map);
        this.keyTransformer =
最低0.47元/天 解锁文章
0xCCCC9090
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3080
java反序列化参考
Java 反序列化漏洞
qq_61553520的博客
05-24 4673
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
详解Java反序列化漏洞
最新发布
爱玩游戏的黑客的博客
06-03 624
如果需要将某个对象保存到磁盘上或者通过网络传输,那么这个类应该实现 Serializable 接口或者Externalizable接口之一。使用到JDK中关键类 :ObjectOutputStream (对象输出流) 和 ObjectInputStream (对象输入流)ObjectOutputStream 类中:通过使用 writeObject (Object object) 方法,将对象以二进制格式进行写入。ObjectInputStream类中:
Java反序列化漏洞分析
qq_51453285的博客
06-10 1066
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
Java 安全之反序列化漏洞
hl1293348082的专栏
03-30 7964
1.序列化与反序列化: 序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
Java反序列化漏洞及实例详解
ran的博客
04-15 3629
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
java反序列化漏洞-验证.rar
06-25
总的来说,这个资源包提供了一个深入学习和实践Java反序列化漏洞验证的机会。理解并能有效应对这类漏洞对于任何Java开发者或安全专业人员都是必要的,因为它可以帮助防止潜在的安全事故,保护系统的完整性。
Java反序列化漏洞
MRS_jianai的博客
02-19 702
Java反序列化源码复现
【代码扫描修复】不安全的反序列化攻击(高危)
ACGkaka的博客
11-07 1789
【代码扫描修复】不安全的反序列化攻击(高危)
java反序列化漏洞分析
weixin_47623655的博客
03-30 2350
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
java反序列化漏洞(入门)
xiaoheizi的博客
07-02 765
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行反序列化代码,可以看到序列化的数据被还原了。
JAVA反序列化漏洞
KHOST的博客
05-11 553
Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的? 1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。 2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以...
Java开发常见漏洞及解决方案
ZHANGLIZENG的博客
01-11 5801
Java开发常见漏洞及解决方案
Java代码审计12之反序列化漏洞的审计与利用
划水的小白白
08-20 622
1、重点函数, 2、漏洞源码 3、利用工具 ysoserial 4、修复漏洞
java反序列化漏洞基础
02-22 616
近年来反序列化漏洞可谓被大家熟知,尤其是的在JAVA 程序中发现了大量的反序列化漏洞,这种漏洞危害极大,可以直接造成RCE,获取到权限,本人之前对于这个漏洞一致认识很浅薄,甚至对于利用方式和工具都不太清楚,本文是对java语言基础的序列化与反序列化进行学习
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值