Java反序列化漏洞CVE-2018-2628 分析

最新推荐文章于 2024-08-12 18:53:17 发布
最新推荐文章于 2024-08-12 18:53:17 发布
阅读量3.4k 收藏 4
点赞数 1
分类专栏: 漏洞相关 安卓逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014715599/article/details/85256193
版权
本文详细分析了Java反序列化漏洞CVE-2018-2628,从概念到利用方法,包括数据包分析、漏洞位置和补丁、POC测试及EXP构造。通过 ysoserial 工具,展示了如何构造序列化payload,导致远程代码执行。最后,给出了官方补丁和手工修复建议。
摘要由CSDN通过智能技术生成

一、 前言

认识Java序列化与反序列化
定义:

序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程
  反序列化即逆过程,由字节流还原成对象
  注: 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。
且看接下来怎么一步步揭开反序列化漏洞利用的面纱的。(小白文)

二、CVE-2018-2628反序列化漏洞详情分析

在分析这个漏洞的时候,中间也看了好多前辈们写的有关Java反序列化漏洞分析的或详细或简略或比价有深度的文章。自己也琢磨了,虽然还没有动手写漏洞利用脚本,但是基本已经了解了反序列化漏洞从发现到利用的整个过程。其中也看了ysoserial-master通用利用工具的源码来加深理解。

(1) 反序列化漏洞利用方法

1.1为了更好的了解漏洞形成的原因,跟踪了脚本抓包分析以及反编译了源码来解开对java反序列化漏洞的疑惑

这部分是参考自别人针对这个漏洞的分析:
 来看看InboundMsgAbbrev中resolveProxyClass的实现,resolveProxyClass是处理rmi接口类型的,只判断了java.rmi.registry.Registry,其实随便找 一个rmi接口即可绕过。


protected Class<?> resolveProxyClass(String[] interfaces) throws IOException, ClassNotFoundException {
   String[] arr$ = interfaces;
   int len$ = interfaces.length;


   for(int i$ = 0; i$ < len$; &
最低0.47元/天 解锁文章
Crystal52875
关注
专栏目录
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
Java反序列化漏洞之——weblogic反序列化漏洞CVE-2018-2628
Stephen Wolf
12-10 1257
一、Java 序列化与反序列化 Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。 Java 反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。 序列化与反序列化是...
WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)漏洞复现
lc0813的博客
04-13 1510
漏洞概述: 在 WebLogic 里,攻击者利用其他rmi绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。 名词概念: 序列化:序列化 (Serialization)是将对象的状态...
【WebLogic漏洞系列】CVE-2018-2628 WebLogic反序列化分析
最新发布
qq_50296568的博客
08-12 709
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。CVE-2018-2628是未授权的情况下远程执行(RCE)漏洞,该漏洞在WebLogic Server的WLS核心组件中存在一个未授权的RMI远程攻击接口,具体存在于T3协议的反序列化处理中。这里,EXP发送了多个经过Hex编码的T3协议数据包,模拟了一个正常的请求。
weblogic之CVE-2017-3248,CVE-2018-2628,CVE-2018-2893,CVE-2018-3245反序列绕过分析
weixin_30820151的博客
01-11 822
说一下复现CVE-2017-3248可以参考p牛的环境,p牛的环境CVE-2018-2628实际就是CVE-2017-3248,他漏洞编号这块写错了。 攻击流程就如下图,攻击者开启JRMPListener监听在1099端口,等待受害者链接,当受害者链接时,把gadgets返回给客户端: CVE-2017-3248以后的漏洞都是利用了JRMP java远程方法协议,利用java.rmi...
weblogic反序列化漏洞CVE-2018-2628-批量检测脚本
weixin_34357436的博客
04-21 658
#coding=utf-8 import socket import time import re,os,sys,codecs type = 'utf-8' reload(sys) sys.setdefaultencoding(type) IpFile=file('./weblogic1.txt') #IP列表 fp= codecs.open("./weblogic1_...
Weblogic反序列化漏洞CVE-2018-2628
weixin_46411728的博客
11-15 4061
Weblogic反序列化漏洞CVE-2018-2628
JBossMQJMS 反序列化漏洞CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
Weblogic XML反序列化漏洞CVE-2017-10271
04-16
Weblogic XML反序列化漏洞CVE-2017-10271是Oracle WebLogic Server中的一个严重安全问题,该漏洞允许攻击者通过精心构造的XML输入来远程执行代码,从而对受影响的系统造成破坏。这个漏洞主要涉及到WebLogic Server在...
ActiveMQ 反序列化漏洞CVE-2015-5254)利用工具
08-15
在2015,ActiveMQ被发现存在一个严重的安全漏洞,被称为CVE-2015-5254,这是一个反序列化漏洞,允许攻击者通过精心构造的恶意消息来执行任意代码,从而对目标系统造成重大威胁。 反序列化漏洞通常发生在对象从...
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Weblogic 反序列化命令执行漏洞CVE-2018-2628漏洞复现【vulhub靶场】
m0_55854679的博客
08-08 1591
在 WebLogic 里,攻击者利用其他rmi【远程方法调用】绕过weblogic黑名单限制,然后在将加载的内容利用readObject解析,从而造成反序列化远程代码执行该漏洞,该漏洞主要由于T3服务触发,所有开放weblogic控制台7001端口,默认会开启T3服务,攻击者发送构造好的T3协议数据,就可以获取目标服务器的权限。......
Weblogic T3协议反序列化漏洞CVE-2018-2628
Kevin's Blog
06-10 9176
文章目录一、漏洞介绍1.1 漏洞详情1.2 基本原理1.3 影响版本二、环境搭建三、攻击过程3.1 信息收集3.2 漏洞探测3.3 攻击操作3.4 流量走向四、修复方法 一、漏洞介绍 1.1 漏洞详情   开放Weblogic控制台的7001端口,默认会开启T3协议服务,T3协议触发的Weblogic Server WLS Core Components中存在反序列化漏洞,攻击者可以发送构造的恶意T3协议数据,获取目标服务器权限。 1.2 基本原理   T3协议缺陷实现了Java虚拟机的远程方法调用(RM
Weblogic反序列化命令执行漏洞CVE-2018-2628)复现
热门推荐
君莫hacker的博客
09-11 1万+
目录0x01 漏洞介绍0x02 环境部署:0x03 漏洞复现0x04 漏洞修复 0x01 漏洞介绍 漏洞描述 Weblogic Server WLS Core Components反序列化命令执行漏洞CVE-2018-2628),该漏洞通过T3协议触发,可导致未授权的用户在远程服务器执行任意命令 漏洞编号 CVE-2018-2628 受影响版本 Weblogic 10.3.6.0 Weblogic 12.1.3.0 Weblogic 12.2.1.2 Weblogic 12.2.1.3 0
Weblogic WLS Core Components 反序列化命令执行漏洞CVE-2018-2628
weixin_45653478的博客
05-13 1296
CVE-2018-2628 是 Oracle WebLogic Server(WLS)核心组件中的一个反序列化命令执行漏洞。此漏洞允许未授权的用户通过 T3 协议在远程服务器上执行任意命令,从而可能完全控制受影响的服务器。
CVE-2018-2628漏洞复现(基于vulhub非常详细!)
weixin_63960760的博客
09-12 1359
1、漏洞描述Weblogic Server WLS Core Components反序列化命令执行漏洞CVE-2018-2628),该漏洞通过T3协议触发,可导致未授权的用户在远程服务器执行任意命令2、漏洞影响版本3、漏洞成因攻击者利用RMI绕过weblogic黑名单限制,将加载的内容利用readObject解析,造成反序列化漏洞,该漏洞主要由于T3协议触发,所有开放weblogic控制台7001端口,默认开启T3服务,攻击者发送构造好的T3协议数据,获取目标服务器的权限。
Weblogic反序列化漏洞原理分析漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 8940
WebLogic 存在远程代码执行漏洞CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
weblogic CVE-2018-2628复现
Armandhe的博客
06-15 3009
无言
【url跳转漏洞】--逻辑漏洞
m0_63241485的博客
09-06 2886
逻辑漏洞--url
linux反序列化漏洞,思科多个产品Java反序列化漏洞(CVE-2015-6420)
05-27
好的,你的第一个问题是关于两个不同的反序列化漏洞的描述。我可以提供一些基本信息来回答你的问题。 Linux反序列化漏洞是指在Linux系统上存在一个漏洞,攻击者可以利用该漏洞来执行恶意代码。该漏洞是由于Linux系统中的一个名为"systemd"的服务的代码中存在漏洞导致的。攻击者可以通过发送特殊构造的数据包来利用该漏洞,从而导致系统崩溃或执行恶意代码。 而思科多个产品Java反序列化漏洞(CVE-2015-6420)是指思科公司的多个产品中存在一个Java反序列化漏洞。攻击者可以利用该漏洞来执行恶意代码。该漏洞是由于思科公司的代码中存在一个漏洞,攻击者可以通过发送特殊构造的数据包来利用该漏洞,从而导致系统崩溃或执行恶意代码。 需要注意的是,这两个漏洞是不同的漏洞,存在于不同的系统和产品中,攻击者利用它们的方法也不同。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值