"Java 反序列化"过程远程命令执行漏洞

最新推荐文章于 2024-08-08 17:56:47 发布
最新推荐文章于 2024-08-08 17:56:47 发布
阅读量465 收藏
点赞数
文章标签: java python 数据库

一、漏洞描述

 
国外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章。原博文所提到的 Java 应用都使用了 Apache Commons Collections 这个库,并且都存在一个序列化对象数据交互接口能够被访问到。针对每个应用,博文都提供了相应的分析和验证代码来说明 Java 应用存在远程命令执行的普遍性。
 
 
二、漏洞危害
 
机器上一旦有使用上述应用,即处于“裸奔”状态,黑客可随时利用此漏洞执行任意系统命令,完全控制机器,破坏或窃取机器上的数据。
 
三、已确认被成功利用的软件及系统  
 
使用了 Apache Commons Collections 这个库的应用理论上都受到漏洞影响。目前已被证实受影响的应用:
 
  • WebSphere
  • WebLogic
  • JBoss
  • Jenkins
  • OpenNMS
 
四、建议修复方案
 
官方尚未为此漏洞发布补丁,所以无法通过应用升级等方法修复漏洞。
 
临时解决方案:
 
1、使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类。
 
2、在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件。
 
3、把受漏洞影响的应用访问路径进行隐藏,如改成随机生成的字符串。
weixin_33883178
关注
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1176
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
java反序列化weblogic_WebLogic “Java 反序列化过程远程命令执行漏洞
weixin_30563489的博客
02-12 216
### 漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。Java 在进行反序列化操作的时候会使用 Obje...
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1331
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
Java代码审计-shiro反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1050
Shiro550反序列化漏洞原理分析。
JAVA CGI 远程代码执行_Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现
weixin_32018297的博客
02-27 283
一、 漏洞简介漏洞编号和级别CVE编号:CVE-2019-0232,危险级别:高危,CVSS分值:官方未评定。漏洞概述Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。4月11日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞(CVE-2019-023...
java 2mi远程执行漏洞_Shiro RememberMe 1.2.4远程代码执行漏洞-详细分析
weixin_35799467的博客
02-27 404
本文首发于先知:0x01.漏洞复现环境配置测试需要一个vps ip提供rmi注册表服务,此时需要监听vps的1099端口,复现中以本机当作vps使用poc:importsysimportuuidimportbase64importsubprocessfrom Crypto.Cipher importAESdefencode_rememberme(command):popen= subprocess...
java web漏洞_常见 Java Web 容器通用远程命令执行漏洞
weixin_35782556的博客
02-15 436
### 漏洞概述国外 FoxgLove 安全团队公开了一篇关于常见 Java Web 容器如何利用反序 列化操作进行远程命令执行的文章[1],并在文章中提供了相应的利用工具。文中 所涉及到的 Java Web 容器有:WebSphere,JBoss,Jenkins,WebLogic 和 OpenNMS。### 漏洞演示使用文章中所提供的 Payload 生成工具 ysoserial[2]和 PoC...
远程代码执行反序列化漏洞
weixin_59616219的博客
12-21 894
远程代码执行反序列化漏洞
JAVA反序列化漏洞学习
qq_36495104的博客
08-31 358
拖了很久,迟早是要学的 配置Maven windows下安装配置Maven 下载地址: https://archive.apache.org/dist/maven/maven-3/ 参考链接里,作者说不建议下载太高版本,经笔者测试,3.6.3 idea报错,解决方案就是降版本。我用的eclipse没问题。 解压后,在conf目录找到settings.xml,修改local repo以及换镜像 <mirror> <id>alimaven</id>
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化和反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个...
java反序列化工具
11-21
然而,这个过程也可能引入安全风险,因为不安全的反序列化可能导致远程代码执行(RCE)漏洞。 在给定的标题和描述中,提到了几个关键的服务器端应用平台:JBoss、WebLogic和WebSphere。这些都是流行的Java企业级...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
java反序列化漏洞 https服务_JBoss “Java 反序列化过程远程命令执行漏洞
weixin_34618077的博客
02-17 179
### 漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。Java 在进行反序列化操作的时候会使用 Obje...
远程代码执行漏洞的利用与防御
qq_61714717的博客
12-14 1529
RCE漏洞
原来Java反序列化远程执行漏洞这么简单
systemino的博客
05-24 2169
在这里我们对Java反序列化问题引发的远程代码执行漏洞的原理进行介绍。为了简化说明,在不引入第3方库的前提下进行操作,希望能起到抛砖引玉的效果。 主要有3个部分组成: Java的反省机制 Java的序列化处理 Java远程代码执行 Java的反射与代码执行 我们先看1个简单的例子,使用Java调用计算器程序:中国菜刀 import java.io.IOException; ...
java 反射操作详解
西凉的悲伤博客
05-09 1518
本文将用到 Student 类和 Address 类进行演示。return name + "成绩是:" + score;} }} }
Java代码审计之远程命令执行漏洞(REC)详解
悦分享
01-23 429
在 Web 应用中有时候程序员为了考虑灵活性、简洁性,会在代码调用 代码或命令执行函数去处理。比如当应用在调用一些能将字符串转化成代码的函数时,没有考虑用户是否能控制这个字符串,将造成代码执行漏洞。同样调用系统命令处理,将造成命令执行漏洞。RCE漏洞,可让攻击者直接向后台服务器远程注入操做系统命令或者代码,从而控制后台系统。很多人喜欢把代码执行漏洞称为命令执行漏洞,因为命令执行漏洞可以执行系统命令,而代码执行漏洞也会执行系统命令,这样就容易混淆。
CVE-2020-4450: WebSphere远程代码执行漏洞分析
爱国小白帽
08-06 6315
360-CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-080601 报告来源:360CERT 报告作者:Hu3sky 更新日期:2020-08-06 0x01 漏洞简述 2020年06月08日,360CERT监测到 IBM官方发布了 WebSphere远程代码执行 的风险通告,该漏洞编号为 CVE-2020-4450,漏洞等级:严重,漏洞评分:9.8分。 此漏洞由IIOP协议上的反序列化造成,未经身份认证的攻击者可以通过IIOP协议远程攻击We
Java反序列化回显解决方案与安全分析
Java中,由于类加载器的设计允许动态加载和执行代码,攻击者可以通过构造特殊的序列化数据来触发类的特定方法,从而执行任意代码,即所谓的远程代码执行(RCE)。 文档提到的解决方案主要涉及`InvokerTransformer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值