反序列化渗透与攻防(三)之Apache Commons Collections反序列化漏洞

最新推荐文章于 2024-03-01 15:22:24 发布
最新推荐文章于 2024-03-01 15:22:24 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: Web漏洞 文章标签: apache 网络安全 安全 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64973687/article/details/130145824
版权
Web漏洞 专栏收录该内容
31 篇文章 11 订阅 ¥9.90 ¥99.00
订阅专栏

Java Apache Commons Collections反序列化漏洞

项目地址:Collections – Download Apache Commons Collections

本地复现环境:

  • jdk 1.7.0_80
  • IDEA Project Structrure——>Projrct设置成1.7
  • IDEA Project Structrure——>Moudles设置成1.7
  • Settings——>Build,Execution,Deployment——>Compiler——>Java
    Compiler——>Target bytecode version设置成7
  • Apache Commons Collections ≤ 3.2.1

Apache Commons Collections介绍

Apache Commons Collections 是一个扩展了Java标准库里集合类Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并且实现了各种集合工具类。作为Apache开源项目的重要组件,Commons Collections被广泛应用于各种Java应用的开发

Com

了解本专栏 订阅专栏 解锁全文
千负
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Java反序列化漏洞Apache Commons Collections
m0_61506558的博客
08-08 747
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过反射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列化,然后交给Java程序反序列化2、在进行反序列化时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
Commons Collections反序列化
12-15
Commons Collections反序列化
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3545
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
JAVA 反序列化Apache Commons Collections 反序列化漏洞分析
最新发布
辛勤搬砖的门卫的专栏
03-01 1725
Apache Commons Collections 反序列化漏洞研究
Java反序列化漏洞Apache Commons Collections
南迪叶先森
06-30 712
Java反序列化漏洞Apache Commons Collections 公粽号:黒掌 一个专注于分享网络安全、黑客圈热点、黑客工具技术区博主! 前言: 最近静下心来看了很多大牛的笔记,博客,收获甚多,所以在此记录一下入坑Java安全的第一步。 Apache Commons CollectionsApache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections
Apache Commons Collections反序列化漏洞分析
辛勤搬砖的门卫的专栏
01-05 1139
Apache Commons Collections反序列化漏洞分析
反序列化漏洞_ApacheCommonsCollections反序列化漏洞分析
weixin_39618339的博客
11-30 700
点击蓝字关注我们吧!环境搭建本文由“壹伴编辑器”提供技术JDK版本为为1.6,引入commons-collections-3.1.jar包,具体引入方法为:File -> Project Settings -> Modules -> Dependencies点击加号选择导入JARs包,再选择包的地址,点击apply成功引入。Poc():本文由“壹伴编辑器”提供技术分析...
Java安全研究——反序列化漏洞之CC链
weixin_43889136的博客
04-13 3870
0x01前言 apachecommons-collections组件下的反序列化漏洞,自从该组件被爆出漏洞后,许多安全研究员相继挖掘到java多种组件的漏洞,危害严重。本人也是初学Java审计不久,技术薄弱,所以在此做一个cc链的学习总结,如有错误还请大佬指出。 若本文有侵权行为,请立即私信,将全面修正。 0x02漏洞环境 JDK1.8 Apache Commons Collections 3.2版本 0x03反序列化漏洞 序列化是将对象的状态信息转换为可以存储或传输的形式的过程,通俗的说,.
Apache-Commons-Collections漏洞问题
白话机器学习
08-15 755
Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。
Commons-Collections1反序列化
m0_62770485的博客
12-05 639
JAVA安全-Commons-Collections1反序列化
Apache Commons Collections
04-05
Apache Commons Collectionscommons-collections-3.2.1和commons-collections4-4.0,含jar包及源码和api文档。
weblogic 序列化漏洞测试及破解方式
11-30
CommonsCollectionsTools.jar weblogic 序列化 漏洞测试 破解方式
Java 反序列化漏洞-Apache Commons Collections1-TransformedMap 攻击链
cjdgg的博客
02-08 2434
Java 反序列化漏洞-Apache Commons Collections前言前置知识TransformedMap 前言 前面已经学了一些Java反序列化漏洞的相关基础知识,今天就来学习分析一下Apache Commons Collections反序列化漏洞 环境搭建推荐大家直接使用maven搭建,网上都有很多教程这里就不多说了 要寻找反序列化漏洞,最主要的是找到个点: 入口点(kick-off),触发点(sink),调用链(chain) 前置知识 TransformedMap org.apache.
java反序列化漏洞解决建议,java反序列化漏洞Apache CommonsCollections浅析
weixin_39925959的博客
03-15 724
主要从Commons Collections 包来浅析java反序列化漏洞成因。一、对象序列化对象序列化是一个用于将对象状态转换为字节流的过程,可以将其保存到磁盘文件中或通过网络发送到任何其他程序。通过实现java.io.Serializable接口,可以在Java类中启用可序列化。序列化简单实现例子如下:public class Student implements Serializable {...
复现java反序列化漏洞的方法
weixin_47623655的博客
03-30 1500
在本文中,我们学习了如何使用ysoserial来生成恶意payload,以及如何利用Python的SimpleHTTPServer模块来搭建一个HTTP服务器来接收Tomcat发送的数据包。当反序列化一个包含恶意代码的序列化数据时,攻击者可以利用该漏洞在目标系统上执行任意代码,导致系统崩溃或数据泄露。通过上面的步骤,我们可以成功地复现Java反序列化漏洞,并在使用ysoserial生成恶意payload之后,我们需要将其发送到目标服务器进行验证漏洞是否存在。接下来,我们需要构造一个包含这个类的序列化数据。
Java 反序列化漏洞-Apache Commons Collections4-TreeBag攻击链
cjdgg的博客
10-06 1337
知识点补充可以看看我前面写的CC2和CC3CC4这条链其实是CC2的变种,与CC2不同的是和CC3一样用了InstantiateTransformer而不是InvokerTransformer触发利用链,ysoserial中用 PriorityQueue 的 TransformingComparator 触发 ChainedTransformer,再利用 InstantiateTransformer 实例化 TemplatesImpl。
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致RMI服务端在反序列化时执行任意代码。 2. Commons-Collections反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致反序列化时执行任意代码。 3. Jackson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 4. XStream反序列化漏洞:攻击者可以通过构造恶意的XML数据,导致反序列化时执行任意代码。 5. Fastjson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 为避免反序列化漏洞的发生,建议在反序列化操作时验证数据的完整性和合法性,同时使用安全的序列化和反序列化框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

千负

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值