java反序列化漏洞的成因,JAVA反序列化漏洞解决办法

最新推荐文章于 2023-09-12 16:50:40 发布
最新推荐文章于 2023-09-12 16:50:40 发布
阅读量422 收藏
点赞数
文章标签: java反序列化漏洞的成因

一、漏洞描述:

近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过远程代码执行可对上述应用发起远程攻击。

二、漏洞解决办法:

1 使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类;

2 在不影响业务的情况下,临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class” 文件;

在服务器上找org/apache/commons/collections/functors/InvokerTransformer.class类的jar,目前weblogic10以后都在Oracle/Middleware/modules下com.bea.core.apache.commons.collections_3.2.0.jar,创建临时目录tt,解压之后删除InvokerTransformer.class类后再打成com.bea.core.apache.commons.collections_3.2.0.jar覆盖Oracle/Middleware/modules下,重启所有服务。如下步骤是linux详细操作方法:

A)mkdir tt

B)cp -r Oracle/Middleware/modules/com.bea.core.apache.commons.collections_3.2.0.jar ./tt

C)jar xf Oracle/Middleware/modules/com.bea.core.apache.commons.collections_3.2.0.jar

D)cd org/apache/commons/collections/functors

E)rm -rf InvokerTransformer.class

F)jar cf com.bea.core.apache.commons.collections_3.2.0.jar org/* META-INF/*

G)mv com.bea.core.apache.commons.collections_3.2.0.jar Oracle/Middleware/modules/

H)重启服务

三、漏洞解决办法:

1、假如不是处理weblogic自带的com.bea.core.apache.commons.collections_3.2.0.jar,而是修改应用代码collections_*.jar,一定在发版本不能覆盖。应用覆盖、备份恢复的时候和发版本的时候也请切记不要覆盖掉修改后的JAR文件。

2、重启服务时候要删除server-name下的cache和tmp

例如rm -rf ~/user_projects/domains/base_domain/servers/AdminServer/cache

rm -rf  ~/user_projects/domains/base_domain/servers/AdminServer/tmp

塔图阿姆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
修复Weblogic的JAVA反序列化漏洞的多种方法
adrninistrat0r的博客
03-03 1512
1. 前言 2016年发在乌云知识库,重新发出来纪念一下。 常见的weblogic的JAVA反序列化漏洞修复方法如下: 1.使用SerialKiller替换进行序列化操作的ObjectInputStream类; 2.在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。 ...
理解Apache Commons Collections反序列化原理
公众号shadow sock7
02-19 1184
Apache Commons Collections反序列化原理 redrain大佬的这篇文章写这个原理写的非常详细: Lib之过?Java反序列化漏洞通用利用分析 涉及到两个大类: Map-> TransformedMap Transformer-> InvokerTransformer,ConstantTransformer,ChainedTransformer Apache ...
Apache Commons Collections反序列化
why811的博客
08-17 157
Apache Commons Collections中有一个特殊的接口TransformerInvokerTransformer是实现了Transformer接口的一个类,这个类可以可以通过Java的反射机制来调用任意函数可以看到该InvokerTransformer类是实现Transformer接口的(Transformer接口主要用于转换并返回一个给定的Object对象),且其中的transform()方法采用反射机制进行任意函数调用,这就是漏洞点所在。
Java 反序列化漏洞-Apache Commons Collections1-TransformedMap 攻击链
cjdgg的博客
02-08 2430
Java 反序列化漏洞-Apache Commons Collections前言前置知识TransformedMap 前言 前面已经学了一些Java反序列化漏洞的相关基础知识,今天就来学习分析一下Apache Commons Collections的反序列化漏洞 环境搭建推荐大家直接使用maven搭建,网上都有很多教程这里就不多说了 要寻找反序列化漏洞,最主要的是找到三个点: 入口点(kick-off),触发点(sink),调用链(chain) 前置知识 TransformedMap org.apache.
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞探析及其修复方法研究.pdf
修复weblogic的JAVA反序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1396
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
复现java反序列化漏洞的方法
weixin_47623655的博客
03-30 1473
在本文中,我们学习了如何使用ysoserial来生成恶意payload,以及如何利用Python的SimpleHTTPServer模块来搭建一个HTTP服务器来接收Tomcat发送的数据包。当反序列化一个包含恶意代码的序列化数据时,攻击者可以利用该漏洞在目标系统上执行任意代码,导致系统崩溃或数据泄露。通过上面的步骤,我们可以成功地复现Java反序列化漏洞,并在使用ysoserial生成恶意payload之后,我们需要将其发送到目标服务器进行验证漏洞是否存在。接下来,我们需要构造一个包含这个类的序列化数据。
Java反序列化漏洞分析
mingyqf的博客
03-25 1120
转至:FreeBuf.COM 原文链接:https://www.freebuf.com/vuls/270859.html Java反序列化漏洞分析 作者:Arb0r1 2021-04-25 10:41:40 205625 1 ​ *本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 0x01 前言 2015年,FoxGlove Security安全团队的@breenmachine发布了一篇长
反序列化漏洞
tomyyyyy
03-26 440
反序列化 原理介绍 序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。比如你可以将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复。 漏洞成因 序列化...
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java反序列化漏洞静态分析与动态验证研究与实现
最新发布
04-10
随着互联网应用的兴起, Java的类库越来越多, 导致反序列化漏洞的类型和数量都急剧上升。 Java反序列化漏洞存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, ...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 806
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
java程序中常见的漏洞类型
G探险者的博客
03-29 1346
需要注意的是,以上示例仅仅是每个漏洞类型的一个简单示例,实际的漏洞可能会更加复杂,攻击者也会不断地创造新的攻击方式来绕过应用程序的防御措施。是一种常见的Web安全漏洞,攻击者通过注入恶意代码到网页中,使得这些代码被其他用户的浏览器执行,从而攻击用户的计算机系统.存储型XSS:攻击者将恶意代码存储在服务器上的数据库中,当其他用户访问相应的页面时,这些代码会被读取并执行,从而攻击用户。当其他用户访问该页面并搜索该关键词时,这段恶意代码就会被服务器返回给用户的浏览器执行,从而弹出一个警告框,对用户进行攻击。
java反序列化后删除_java 反序列化漏洞解决
weixin_35969684的博客
02-26 162
1.解决应用漏洞将commons-collections.jar包内org/apache/commons/collections/functors/InvokerTransformer.class文件,不要直接解压缩后打开再重新包,这样会有问题。要直接用压缩工具软件打开后直接删除。特别注意如果集群环境,要全部停掉再执行此操作才有效,否则会被缓存的文件覆盖回原始包。2.解决weblogic应用服务器...
Apache Commons Collections反序列化链分析(二)
why811的博客
09-12 517
我们看其父类代码:一直跟进发现最终调用了。
JAVA反序列化漏洞修复解决方法
如需功能开发提供开发说明,请发送邮件至[email protected]
05-05 2900
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值