java反序列化weblogic_WebLogic “Java 反序列化”过程远程命令执行漏洞

最新推荐文章于 2022-11-04 15:09:34 发布
最新推荐文章于 2022-11-04 15:09:34 发布
阅读量209 收藏
点赞数
文章标签: java反序列化weblogic
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30563489/article/details/114069352
版权

### 漏洞原理

反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。

Java 在进行反序列化操作的时候会使用 ObjectInputStream 类调用 readObject() 方法去读取传递过来的序列化对象字节流进行处理,要想利用反序列化过程进行攻击,就必须构造出一个能够自动执行的代码调用链。而议题《Marshalling Pickles》中巧好就使用 Apache Commons Collections 库构造出了一个能够在反序列化操作时能够自动执行命令的调用链。具体构造详情可参考原议题PPT。

### 漏洞影响

> ZoomEye 对全球开放 7001 端口的二百万 IP 进行了检测,其中有 5419 个目标确认存在风险。

影响版本:

```

- 9.2.3.0

- 9.2.4.0

- 10.0.0.0

- 10.0.1.0

- 10.0.2.0

- 10.2.6.0

- 10.3.0.0

- 10.3.1.0

- 10.3.2.0

- 10.3.4.0

- 10.3.5.0

- 12.1.1.0

```

### 关联漏洞链接

1. JBoss “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89723

2. Jenkins “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89725

3. WebSphere “Java 反序列化”过程远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89727

4. 常见 Java Web 容器通用远程命令执行漏洞 https://www.sebug.net/vuldb/ssvid-89713

### 参考链接

1. http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/

2. https://access.redhat.com/solutions/2045023

3. http://d.hatena.ne.jp/Kango/touch/20151110/1447175137?from=singlemessage&isappinstalled=0

loading-bars.svg

青幕
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java 序列漏洞 weblogic版本_Weblogic序列远程代码执行漏洞(CVE-2019-2725)分析报告...
weixin_29090677的博客
03-07 422
一、漏洞描述4月17日,国家信息安全漏洞共享平台(CNVD)公开了Weblogic序列远程代码执行漏洞(CNVD-C-2019-48814)。由于在序列处理输入信息的过程中存在缺陷,未经授权的攻击者可以发送精心构造的恶意 HTTP 请求,利用该漏洞获取服务器权限,实现远程代码执行。目前,POC已在野外公开(见参考链接)。官方紧急补丁(CVE-2019-2725)已于4月26日发布,请受影响...
weblogic序列全版本漏洞利用工具
06-27
weblogic序列全版本漏洞利用工具,可执行命令
Java序列实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游序列的世界。 序列入门 Fastjson Weblogic 序列防御
"Java 序列"过程远程命令执行漏洞
weixin_33883178的博客
11-20 455
一、漏洞描述   国外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用序列操作进行远程命令执行的文章。原博文所提到的 Java 应用都使用了 Apache Commons Collections 这个库,并且都存在一个序列对象数据交互接口能够被访问到。针对每个应用,博文都提供了相应的分析和验证代码来说明 Java 应用存在远程命...
WebLogic “Java 序列过程远程命令执行
weixin_30794851的博客
10-22 113
WebLogic “Java 序列过程远程命令执行 详细信息: https://www.seebug.org/vuldb/ssvid-89726 说明: 序列是指特定语言中将传递的对象序列数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例操作用于恢复之前序列时的对象 转载于:https://www.cnblogs.com/anbus/p/9833...
Oracle WebLogic Java序列远程代码执行漏洞CVE-2020-2963分析
further_eye的博客
11-06 1598
2020年4月,Oracle官方发布了重要补丁更新,其中包括了漏洞CVE-2020-2963,漏洞等级定义为高危。 在SOAPInvokeState类中存在漏洞,未对序列数据的安全性做检测,攻击者可以通过T3协议发送精心构造的序列数据,从而达成远程代码执行的效果。
java序列漏洞 https服务_JBoss “Java 序列过程远程命令执行漏洞
weixin_34618077的博客
02-17 163
### 漏洞原理序列是指特定语言中将传递的对象序列数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例操作用于恢复之前序列时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列对象数据,而在序列时并没有限制实例对象的类型,导致可以任意构造应用中已经包含的对象利用序列操作进行实例Java 在进行序列操作的时候会使用 Obje...
java序列漏洞利用工具WebLogicExploit_weblogic图形漏洞利用工具
09-01
使用注意: 1. WebLogic弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如... jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java
java序列工具
11-21
Java序列是一种将已序列的对象状态转换回对象的过程,它是Java平台中持久数据的一种常见方式。在Java应用程序中,序列用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Weblogic序列远程代码执行漏洞(CVE-2018-2893)
09-14
20180717官网发布Weblogic序列远程代码执行漏洞(CVE-2018-2893)漏洞修复补丁
Java序列漏洞利用工具(WebLogic&Jboss;)
10-10
使用注意: 1. WebLogic弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 弹shell部分更完美,不再加载远程war包,直接发包完成弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
structs2最新远程执行漏洞S2-057、序列漏洞等修复方案
08-30
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。特给出struct2.0-2.3.35的修复方案
Weblogic序列远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic序列远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
java web漏洞_常见 Java Web 容器通用远程命令执行漏洞
weixin_35782556的博客
02-15 409
### 漏洞概述国外 FoxgLove 安全团队公开了一篇关于常见 Java Web 容器如何利用序 列操作进行远程命令执行的文章[1],并在文章中提供了相应的利用工具。文中 所涉及到的 Java Web 容器有:WebSphere,JBoss,Jenkins,WebLogic 和 OpenNMS。### 漏洞演示使用文章中所提供的 Payload 生成工具 ysoserial[2]和 PoC...
绿盟安全事件响应观察漏洞频繁爆发
m0_73803866的博客
11-04 1160
在企业安全建设过程中,加强漏洞管理并有效运营是不可或缺的重要环节。除了日常对业务系统通 过安全测试、代码审计发现漏洞外,企业运营过程中使用的软件、服务、系统的自身通用漏洞同样也需 要重点关注。建立企业内的漏洞风险等级体系:从影响面(是否为核心业务系统)、危害性(利用难度、造成危害) 等维度对漏洞进行定级,并对不同等级漏洞制定相应的处置响应时间。制定漏洞处置流程:在发现漏洞并完成定级后,分发至对应负责人员进行漏洞修复,并定期跟 进漏洞修复情况,对无法按时修复的漏洞进行说明。
WebLogic 序列0day漏洞(CVE-2019-2725补丁绕过)预警
systemino的博客
06-16 1850
0x00 事件背景 2019年06月15日,360CERT监测到在野的Oracle Weblogic远程序列命令执行漏洞,该漏洞绕过了最新的Weblogic补丁(CVE-2019-2725),攻击者可以发送精心构造的恶意HTTP请求,在未授权的情况下远程执行命令。目前官方补丁未发布,漏洞细节未公开。360CERT经研判后判定该漏洞综合评级为“高危”,强烈建议受影响的用户尽快根据临时...
Weblogic修复"Java序列"过程远程命令执行漏洞
cizhanliang7973的博客
07-25 1122
1.查找文档说明,在https://support.oracle.com上找到补丁的说明文档如下: CVE-2015-4852 Patch Availability Document for Oracle WebLog...
WebLogic Java序列漏洞终极建议
热门推荐
水滴石穿
09-25 1万+
title: WebLogic Java序列漏洞终极建议 author: rocklei123 tags: Java WebLogic categories: Spring date: 2018-09-25 09:27:33 0. 概述: 本文针对这几年来WebLogic软件经常报出的java序列漏洞问题进行总结,其他中间件软件本文暂不讨论。内容主要涵盖客户最关心的一些问题、工程师...
weblogic序列原理
最新发布
05-14
WebLogic序列漏洞是指WebLogic服务器在处理Java对象序列时存在漏洞,攻击者可以通过构造恶意的序列数据来执行远程代码。其原理主要包括以下几点: 1. Java对象序列Java对象序列是将Java对象转换为...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值