Web进阶漏洞-------JAVA反序列化(1)

最新推荐文章于 2024-04-18 13:48:19 发布
最新推荐文章于 2024-04-18 13:48:19 发布
阅读量229 收藏
点赞数
分类专栏: 漏洞基础问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43497161/article/details/107755840
版权

  • 反序列化定义

Java 中对象的序列化就是将对象转换成二进制序列
使用ObjectOutputStream的**writeObject()**方法实现序列化

反序列化则是将二进制序列转换成对象。
使用ObjectOutputStream的**readbject()**实现反序列化

  • 为什么要进行反序列化?

举个例子,我们在淘宝上订购了一个书桌,商家不可能把整个桌子都通过物流公司发送到顾客家中。桌子要被分解为众多部分,以散件的形式发送到顾客的手上。

序列化条件
类中必须实现java.io中Serializable接口才能被反序列化
transient关键字修饰的变量不进行序列化

try{
 FileOutputStream test =new FileOutputStream("test.obj");
 ObjectOutputStream test123 =new ObjectOutputStream(test);
test123,writeObject(user);//user是之前定义的对象
}catch (IO Exception e){
e.printStack Trace();
}

aced 0005 7372

aced:java反序列化标志

0005:java反序列化版本号

73:表示是一个object

72:表示从当前开始对类的描述

················································

- 反序列化工具

Serialization Dumper
将字节序列转成易读形式工具
java -jar SerializationDumper-v1.1.jar aced000573720026636e2e656d61792e…

ysoserial
Java反序列化漏洞payload生成工具
java -jar ysoserial -[version] -all.jar [payload] ‘[command]’ 例如 URLDNS “http://xxx.com.net”
CommonsCollection1

GadgetProbe
通过DNS盲打识别远程服务器calsspath上的类,库和库版本
serialVersionUID

serialVersionUID实在JAVA序列化,反序列化都起作用的一个字段
JAVA的序列化机制是通过判断类的SerialVersionUID来验证一致性
在进行反序列时,JVM会把传来的字节流中的serialVersionUID与对应类的serialVersionUID进行比较,如果一致,则进行反序列化,否则就会出现异常。

漏洞原理
Source 接受不信任的数据进行反序列化
Sink 可利用的Gadget Chains [payload]

易受攻击协议:
RMI
JMX
JMS
AMF
Weblogic T3
Customer Application protocal

易受攻击组件:
Weblogic
JBoss
Shiro
WebSphere
Fastjson
Jenkins
JSF ViewState

_SWEE_
关注
专栏目录
《从0到1:CTFer成长之路》书籍配套题目-[第三章 web进阶]逻辑漏洞
weixin_46703850的博客
02-24 1195
[第三章 web进阶]逻辑漏洞
红队专题-漏洞挖掘代码审计-RCE-反序列化
aming小老弟
03-14 1571
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);
反序列化漏洞_WEB漏洞 JAVA 反序列化
weixin_39814378的博客
12-10 235
#序列化和反序列化序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化Java反序列化及命令执行代码测试在IDE创建一个package包,包名为SerialTest包中创建三个类文件MainPersonSeriali...
WEB漏洞-反序列化JAVA
硫酸超的博客
08-27 919
WEB漏洞-反序列化JAVA定义用途应用场景Java中的序列化和反序列化API实现简单测试代码writeObject()Serializable和Externalizable序列化ID的作用漏洞原理漏洞挖掘漏洞触发场景挖掘方法发现&利用-WebGoat&Ysoserial 定义 序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对 象将其当前状态写入到临时或持久性存储区。 反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序
WebGoat JAVA反序列化漏洞分析复现
leah126的博客
03-09 763
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。为此写了加密的小工具。进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
JAVA反序列化基于常见框架/中间件回显方案
问题很多的小明
08-27 1675
0x00概述 JAVA反序列化漏洞JAVA中最常见的可以直接获取目标权限的漏洞,通过反序列化回显的思路也是越来越多,如通过远程加载回显、在目标网站写文件、通过URLClassLoader回显、借助dnslog回显等。这些思路多少都有些瓶颈。一旦遇到了目标因网络策略严格无法出外网,则需要借助Dnslog的打法效果会失效,如果可以直观的返回命令执行结果,那岂不是更香? 0x01知识点 Tomcat处理流程 在tomcat自己实现的Servlet处打断点,观察tomcat调用栈大致执行流程: 调用过程
CTF-WEB入门DOC-2019版1
08-03
9. JavaScript漏洞:了解Node.js安全,如常见漏洞反序列化问题。 五、工具使用: 1. 虚拟机:VMware或VirtualBox,安装Kali Linux进行安全测试。 2. 抓包工具:Wireshark、Burp Suite等用于网络流量分析。 3. ...
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 967
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
21 - vulhub - fastjson 反序列化导致任意命令执行漏洞
m0_67621628的博客
03-22 2354
2.编译并启动环境 docker-compose up -d 3.查看环境运行状态 docker ps | grep rce 访问 8090 端口 []( )漏洞利用 首先 vulhub 给出的复现提示如下 因为目标环境是Java 8u102,没有com.sun.jndi.rmi.object.trustURLCodebase的限制, 我们可以使用com.sun.rowset.JdbcRowSetImpl的利用链,借助JNDI注入来执行命令。 首先编译并上传命令执行代码,如http://evil
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
最新发布
2401_83974064的博客
04-18 398
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
ysoserial-cve-2018-2893
11-12
ysoserial-cve-2018-2893、
BUUCTF [第三章 web进阶]逻辑漏洞
m0_49025459的博客
04-21 1334
这个就很离谱,我们直接购买FLAG我们发现钱不够 但是url上显示了支付的钱和商品数,连抓包都不用,直接将这个cost修改成负的就行了
web java反序列化例子与修复建议
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-06 769
文章目录搭环境 搭环境 每次搭环境总是能遇到千奇百怪的问题,真是服了。 1、下载springboot demo,不要搞太新的,依赖包会出问题: 2、解压,使用idea打开,idea需要配置mvn的国内源,查看setting.xml的存放路径 然后在相应路径创建setting.xml,有则覆盖,配置如下: <settings xmlns="http://maven.apache.org/SETTINGS/1.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSc
远程命令执行与反序列化——Weblogic中间件反序列化漏洞及相关
温柔小薛的博客
04-13 832
Weblogic中间件反序列化漏洞及相关 常见漏洞有那些:弱口令、Java 反序列化漏洞操作(CVE-2018-2628)、任意文件上传漏洞操作(CVE-2018-2894)、XML Decoder 反序列化漏洞操作(CVE-2017-10271)、SSRF 漏洞(需要安装Weblogic时选择UDDI组件)、反序列化漏洞(CVE-2019-2725 参考https://www.0dayhack...
web逻辑漏洞
qq_46258964的博客
12-20 595
越权漏洞 浏览器对用户的提交数据请求没有经过严格的权限设置,导致用户可以拥有观察或更改其他用户信息的功能, 通过ID之类的身份之类的身份标识,从而使a账号获取b账号的 数据等,或者使用低权限用户身份的账号,发送高权限账号才可以有的请求。获取的高权限的操作 通过删除请求中的认证信息后重放该请求,依旧可以访问或者完成操作 越权分为两种 水平越权:用户在权限想同等级下的组,可以进行越权访问,修改,删除数据相同的普通用户可以看到其他普通用户里面的数据。 垂直越权:用户在不同权限下的组,可以进行高级别的权限使用。 比
Web的基本漏洞--逻辑漏洞
尽欢
05-31 452
逻辑漏洞介绍
Web安全——逻辑漏洞浅析
Candour_0的博客
03-16 2893
Web安全——逻辑漏洞浅析
BUUCTF web3
qq_61768489的博客
05-16 1219
[WUSTCTF2020]朴实无华 这题主要就是绕过php特性 , 访问假flag页面 ,响应头里有文件提示 访问后得到源码,这里怎么乱码了 逐个击破 if(intval($num)<2020&&intval($num+1)>2021) 这里使用e科学计数法, $num=123e3 intval($num)解析出来是123 满足<2020 intval($num+1) 解析出来是 123e3+1 满足...
web服务器/中间件漏洞系列3:jboss漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
11-30 1687
JBOSSS简介: JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用;JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1、EJB 2.0和EJB3规范。但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用。 一、CVE-2017-12149 1、漏洞简介 漏洞类型:java 反序列化 漏洞原理: 该漏洞Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 .
利用POC检测WebLogic反序列化漏洞CVE-2019-2725
在2019年,Oracle WebLogic服务器遭遇了一...总结起来,这段文本描述了一种针对WebLogic服务器的反序列化漏洞利用方法,以及提供了一个用于检测此漏洞的POC。理解并应用此类安全知识对于保护企业免受此类攻击至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值