Java反序列化高危漏洞重现

最新推荐文章于 2024-04-18 13:48:19 发布
最新推荐文章于 2024-04-18 13:48:19 发布
阅读量325 收藏 1
点赞数
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45498778/article/details/128069316
版权

Java反序列化漏洞存在着极大危害,今天我来为大家重现一下:
1.新建一个 Write 类,来进行序列化操作,

package cn.serializable;
​
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;
​
public class Write {
​
    public static void main(String[] args) throws IOException{
        //将e转化为字节序列存储于/tmp/2.ser
        Employ e = new Employ("zhangyida");
​
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("/temp/2.ser"));
        oos.writeObject(e);
        oos.close();
        System.out.println("Serialized data is saved in /temp/2.ser");
​
    }
}


2.新建一个 Read 类,来实现反序列化,

package cn.serializable;
​
import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
​
​
public class Read {
    public static void main(String[] args) throws IOException, ClassNotFoundException{
            ObjectInputStream obis = new ObjectInputStream(new jFileInputStream("/temp/2.ser"));
            Employ e = (Employ) obis.readObject();
            obis.close();
            System.out.println(e);
    }
​
}


3.下面就是漏洞实现的重要之处了,新建员工类 Employ.java,定义一个name 属性​。

package cn.serializable;
​
import java.io.ObjectInputStream;
import java.io.Serializable;
import java.io.IOException;
​
public class Employ implements Serializable {
    public String name;
​
    public Employ() {
    }
​
    public Employ(String name){
        this.name = name;
    }
​
    private void  readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException{
        ois.readObject();
        Runtime.getRuntime().exec("calc");
    }
}


通过观察你可以发现,在员工类 Employ.java 中,我们重写了 readObject()方法,并将可执行语句写入该方法内部,这样在进行反序列化的时候就会调用该方法,从而执行我们想要进行的操作​。


4.执行步骤​:

运行 Write.java ,进行序列化操作;
运行 Read.java  ,进行反序列化​操作;
下面是成功实现打开电脑计算器的截图,你也可以试着体验一下​。

 

qq_45498778
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Java-rmi-registry反序列化漏洞复现
0xSec
12-25 1536
java.rmi.registry是java语言的一个包
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞探析及其修复方法研究.pdf
复现java反序列化漏洞的方法
weixin_47623655的博客
03-30 1505
在本文中,我们学习了如何使用ysoserial来生成恶意payload,以及如何利用Python的SimpleHTTPServer模块来搭建一个HTTP服务器来接收Tomcat发送的数据包。当反序列化一个包含恶意代码的序列化数据时,攻击者可以利用该漏洞在目标系统上执行任意代码,导致系统崩溃或数据泄露。通过上面的步骤,我们可以成功地复现Java反序列化漏洞,并在使用ysoserial生成恶意payload之后,我们需要将其发送到目标服务器进行验证漏洞是否存在。接下来,我们需要构造一个包含这个类的序列化数据。
WebGoat JAVA反序列化漏洞分析复现_webgoat反序列化,苦熬一个月
最新发布
2401_83974064的博客
04-18 266
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
不安全的反序列化(php&java)及漏洞复现
weixin_58954236的博客
09-06 1243
class Stu{在unserialize文件夹下新建一个stu.class.php文件,将上述代码复制进去。class(关键字:类),stu是类名。
Vulhub靶场Dubbo Java反序列化漏洞复现
X_python321的博客
08-03 206
Apache Dubbo是一款高性能、轻量级的开源Java RPC服务框架
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
java反序列化工具
11-21
java反序列化工具,覆盖jboss、weblogic、websphere。
Java序列化反序列化原理及漏洞解决方案
08-18
主要介绍了Java序列化反序列化原理及漏洞解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
java反序列化 ysoserial|ysoserial-master-ff59523eb6-1.jar
12-10
帮助理解java反序列化漏洞的工具,一般还需配套工具:SerializationDumper-v1.13、DeserLab以及抓包分析工具
java struts2 漏洞复现合集
whatday的专栏
08-31 3500
目录 一、S2-001复现 二、S2-005复现 三、S2-007复现 四、S2-008复现 五、S2-009复现 六、S2-012复现 七、S2-013复现 八、S2-015复现 九、S2-016复现 十、S2-045复现 十一、S2-048复现 十二、S2-052复现 十三、S2-053复现 十四、S2-057复现 十五、S2-019复现 十六、S2-devMode 复现 Apache Struts2 是一个基于MVC设计模式的Web应用框架,会对某些标签属性(比如 i
【代码扫描修复】不安全的反序列化攻击(高危
ACGkaka的博客
11-07 1222
【代码扫描修复】不安全的反序列化攻击(高危
java 序列化漏洞怎么解决?
半夏_2021的博客
05-05 1291
java 序列化漏洞怎么解决?
WebGoat JAVA反序列化漏洞分析复现
leah126的博客
03-09 589
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。为此写了加密的小工具。进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3029
java反序列化参考
JAVA反序列化漏洞修复解决方法
如需功能开发提供开发说明,请发送邮件至[email protected]
05-05 2917
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
API安全产品,面试官都被搞懵了
2401_83974173的博客
04-13 559
这些策略通常会结合使用,以提高产品在市场中的知名度和竞争力。
Java 反序列化漏洞
qq_61553520的博客
05-24 3504
在各种编程语言反序列化漏洞中,Java是最引人瞩目的,因为Java开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
反序列化 RCE 漏洞
06-09
反序列化RCE漏洞是一种常见的安全漏洞,发生在Java、Python等语言中的反序列化过程中。攻击者利用该漏洞,可以在受害者系统上执行任意命令,从而实现对系统的完全控制。 该漏洞的原理是,攻击者在序列化对象时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值