"Java 反序列化"过程远程命令执行漏洞

最新推荐文章于 2024-08-08 17:56:47 发布
最新推荐文章于 2024-08-08 17:56:47 发布
阅读量465 收藏
点赞数
文章标签: java python 数据库

一、漏洞描述

 
国外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章。原博文所提到的 Java 应用都使用了 Apache Commons Collections 这个库,并且都存在一个序列化对象数据交互接口能够被访问到。针对每个应用,博文都提供了相应的分析和验证代码来说明 Java 应用存在远程命令执行的普遍性。
 
 
二、漏洞危害
 
机器上一旦有使用上述应用,即处于“裸奔”状态,黑客可随时利用此漏洞执行任意系统命令,完全控制机器,破坏或窃取机器上的数据。
 
三、已确认被成功利用的软件及系统  
 
使用了 Apache Commons Collections 这个库的应用理论上都受到漏洞影响。目前已被证实受影响的应用:
 
  • WebSphere
  • WebLogic
  • JBoss
  • Jenkins
  • OpenNMS
 
四、建议修复方案
 
官方尚未为此漏洞发布补丁,所以无法通过应用升级等方法修复漏洞。
 
临时解决方案:
 
1、使用 SerialKiller 替换进行序列化操作的 ObjectInputStream 类。
 
2、在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class" 文件。
 
3、把受漏洞影响的应用访问路径进行隐藏,如改成随机生成的字符串。
weixin_33883178
关注
fastjson 1.2.24 反序列化导致任意命令执行漏洞复现
薛定谔嘚喵博客
05-30 1182
fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,的作用就是把java对象转换为json形式,也可 以用来将json转换为java对象。fastjson在解析json的过程中,支持使用autoType来实例化某一个具体的类,并调用该类的set/get方法来访问属性。通过查找代码中相关的方法,即可构造出一些恶意利用链。
java反序列化weblogic_WebLogic “Java 反序列化过程远程命令执行漏洞
weixin_30563489的博客
02-12 216
### 漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。Java 在进行反序列化操作的时候会使用 Obje...
Java框架安全篇--log4j2远程代码执行漏洞
m0_63138919的博客
04-06 1363
本文章参考网上师傅们的解题和代码审计思路,记录自己的学习过程,还希望各位博主师傅大佬勿喷,还希望大家指出错误
Java代码审计-shiro反序列化漏洞分析
最新发布
qq_44780157的博客
08-08 1060
Shiro550反序列化漏洞原理分析。
JAVA CGI 远程代码执行_Apache Tomcat 远程代码执行漏洞(CVE-2019-0232)漏洞复现
weixin_32018297的博客
02-27 285
一、 漏洞简介漏洞编号和级别CVE编号:CVE-2019-0232,危险级别:高危,CVSS分值:官方未评定。漏洞概述Apache Tomcat是美国阿帕奇(Apache)软件基金会的一款轻量级Web应用服务器。该程序实现了对Servlet和JavaServer Page(JSP)的支持。4月11日,Apache官方发布通告称将在最新版本中修复一个远程代码执行漏洞(CVE-2019-023...
java 2mi远程执行漏洞_Shiro RememberMe 1.2.4远程代码执行漏洞-详细分析
weixin_35799467的博客
02-27 404
本文首发于先知:0x01.漏洞复现环境配置测试需要一个vps ip提供rmi注册表服务,此时需要监听vps的1099端口,复现中以本机当作vps使用poc:importsysimportuuidimportbase64importsubprocessfrom Crypto.Cipher importAESdefencode_rememberme(command):popen= subprocess...
java web漏洞_常见 Java Web 容器通用远程命令执行漏洞
weixin_35782556的博客
02-15 438
### 漏洞概述国外 FoxgLove 安全团队公开了一篇关于常见 Java Web 容器如何利用反序 列化操作进行远程命令执行的文章[1],并在文章中提供了相应的利用工具。文中 所涉及到的 Java Web 容器有:WebSphere,JBoss,Jenkins,WebLogic 和 OpenNMS。### 漏洞演示使用文章中所提供的 Payload 生成工具 ysoserial[2]和 PoC...
fastjson1.2.69反序列化远程代码执行漏洞介绍.docx
07-01
**Fastjson 1.2.69 反序列化远程代码执行漏洞详解** Fastjson 是阿里巴巴开源的一个高性能的 JSON 库,广泛应用于 Java 开发中,用于 JSON 的序列化反序列化操作。然而,Fastjson 1.2.69 版本存在一个严重的反序...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个...
java反序列化工具
11-21
然而,这个过程也可能引入安全风险,因为不安全的反序列化可能导致远程代码执行(RCE)漏洞。 在给定的标题和描述中,提到了几个关键的服务器端应用平台:JBoss、WebLogic和WebSphere。这些都是流行的Java企业级...
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)以及安装步骤
11-23
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它允许攻击者通过发送恶意构造的序列化对象来执行任意代码,从而获得对服务器的完全控制。这个漏洞存在于WebLogic ...
SerialKiller-0.4-all.jar
05-04
SerialKiller最新版 SerialKiller-0.4
java反序列化漏洞 https服务_JBoss “Java 反序列化过程远程命令执行漏洞
weixin_34618077的博客
02-17 179
### 漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。Java 在进行反序列化操作的时候会使用 Obje...
远程代码执行漏洞的利用与防御
qq_61714717的博客
12-14 1541
RCE漏洞
原来Java反序列化远程执行漏洞这么简单
systemino的博客
05-24 2170
在这里我们对Java反序列化问题引发的远程代码执行漏洞的原理进行介绍。为了简化说明,在不引入第3方库的前提下进行操作,希望能起到抛砖引玉的效果。 主要有3个部分组成: Java的反省机制 Java序列化处理 Java远程代码执行 Java的反射与代码执行 我们先看1个简单的例子,使用Java调用计算器程序:中国菜刀 import java.io.IOException; ...
java反序列化漏洞分析
weixin_47623655的博客
03-30 2401
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
JAVA RMI 反序列化远程命令执行漏洞
热门推荐
LeeHDsniper的博客
05-11 2万+
JAVA RMI 反序列化远程命令执行漏洞 漏洞资料 背景 原理 Payload构造 搭建本地测试环境 开启包含第三方库的RMI服务 测试RMI客户端 攻击测试 升级版攻击 Weblogic Commons-Collections反序列化RCE漏洞CVE-2015-4852JAVA RMI 反序列化远程命令执行漏洞漏洞资料Java RMI远程反序列化任意类及远程代码执行解析(CVE-2017-324
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2809
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
IO流-ObjectInputStream--反序列化
I have a dream
12-11 1156
public static void readObj() throws IOException, ClassNotFoundException { // TODO Auto-generated method stub //创建一个序列化对象的读取流 ObjectInputStream ois=new ObjectInputStream(new FileInputStream("f:\
Java反序列化回显解决方案与安全分析
Java中,由于类加载器的设计允许动态加载和执行代码,攻击者可以通过构造特殊的序列化数据来触发类的特定方法,从而执行任意代码,即所谓的远程代码执行(RCE)。 文档提到的解决方案主要涉及`InvokerTransformer...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值