反序列化漏洞研究

最新推荐文章于 2021-06-25 09:15:35 发布
最新推荐文章于 2021-06-25 09:15:35 发布
阅读量155 收藏
点赞数
文章标签: json java python
原文链接:https://my.oschina.net/9199771/blog/2209373
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

最近几周一直在研究java的反序列化漏洞相关问题 我们先来看看这个著名的类和其中的那个方法了

c38b888c61f0cdc83d08c477d2e9cf9612b.jpg

对没错 就是这个大名鼎鼎的readObject方法 一旦黑客发现了"可乘之机"  就会构造一个paylaods比如这个

  private void readObject(java.io.ObjectInputStream stream)
          throws IOException, ClassNotFoundException {
    stream.defaultReadObject();
    ProcessBuilder processBuilder = new ProcessBuilder("whoami");
    Process process = processBuilder.start();
    BufferedReader br = new BufferedReader(new InputStreamReader(process.getInputStream()));
    String line;
    StringBuilder out = new StringBuilder();
    while ((line = br.readLine()) != null) {
      out.append(line);
    }
    System.out.println(out);
  }

当然这个paylaods只是执行了whoami这个系统命令 如果是其他的指令 那可就不好玩了

实际任何一个反序列化漏洞的构成都是如此  反序列化漏洞的paylaods里面重写了readObject方法

02d5c8e0ab1a317afa242a1eb1e0be169b6.jpg

我对readObjectStream的类进行了改写注意注释就是改写的地方

    private ObjectStreamClass readNonProxyDesc(boolean unshared)
        throws IOException
    {
        if (bin.readByte() != TC_CLASSDESC) {
            throw new InternalError();
        }

        ObjectStreamClass desc = new ObjectStreamClass();
        int descHandle = handles.assign(unshared ? unsharedMarker : desc);
        passHandle = NULL_HANDLE;

        ObjectStreamClass readDesc = null;
        try {
            readDesc = readClassDescriptor();
        } catch (ClassNotFoundException ex) {
            throw (IOException) new InvalidClassException(
                "failed to read class descriptor").initCause(ex);
        }

        Class<?> cl = null;
        ClassNotFoundException resolveEx = null;
        bin.setBlockDataMode(true);
        final boolean checksRequired = isCustomSubclass();
        try {
            if ((cl = resolveClass(readDesc)) == null) {
                resolveEx = new ClassNotFoundException("null class");
            } else if (checksRequired) {
                ReflectUtil.checkPackageAccess(cl);
            }
        } catch (ClassNotFoundException ex) {
            resolveEx = ex;
        }
        //--------------
        System.out.println(cl);
        Method []m=((Class)cl).getDeclaredMethods();
        for(Method ms:m){
            System.out.println(ms);
            if(ms.toString().contains(".readObject(")){
                System.out.println("HACK!");
                return null;
            }
        }
        //--------------
        skipCustomData();

        desc.initNonProxy(readDesc, cl, resolveEx, readClassDesc(false));

        handles.finish(descHandle);
        passHandle = descHandle;
        return desc;
    }

 

转载于:https://my.oschina.net/9199771/blog/2209373

weixin_33974433
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
反序列化漏洞
Hi~ 土拨鼠
12-29 703
文章目录什么是序列化?PHP中的序列化和反序列化简单的例子序列化与反序列化Demo反序列化漏洞漏洞何在?为什么会这样?案例安装Typecho v1.0.14反序列化实战 什么是序列化? 序列化就是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进行通信。 PHP中的序列化和反序列化 PHP反序列
Json数据的序列化与反序列化
成长ing中的w的专栏
06-20 347
using System.Collections; using System.Collections.Generic; using UnityEngine; using LitJson; /* * Author:W * Json数据解析 */ namespace JsonDataManager { [System.Serializable] public class Student { /// <summary> /// 名字
反序列化漏洞利用工具_深入理解 Java 反序列化漏洞
weixin_39665507的博客
12-10 339
1.Java 序列化与反序列化Java序列化是指把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的writeObject()方法可以实现序列化。Java反序列化是指把字节序列恢复为Java对象的过程,ObjectInputStream类的readObject()方法用于反序列化。序列化与反序列化是让Java对象脱离Java运行环境的...
[网络安全学习篇68]:反序列化漏洞
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-15 2003
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都..
Java序列化漏洞的调研,***和安全监控
weixin_33965305的博客
03-30 144
  Java序列化对象(Java Serialization Object,JSO)是Java语言中在不同Java程序之间进行数据交换的机制,通过序列化和反序列可以在程序保存和恢复Java执行态的对象,JSO给Java开发带来极大的方便,但同时也是个极大的安全隐患。JSO给***者提供了一个稳定可靠的载体,来实现对Java APP的***和远程控制。近年JSO的反序列化漏...
PHP反序列化漏洞研究
06-17
PHP反序列化漏洞研究 PHP反序列化漏洞是指攻击者可以通过构造恶意的序列化数据来执行恶意代码或泄露敏感信息的漏洞。这种漏洞通常发生在使用PHP的serialize()和unserialize()函数时。 在PHP中,serialize()函数...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java反序列化漏洞静态分析与动态验证研究与实现
最新发布
04-10
随着互联网应用的兴起, Java的类库越来越多, 导致反序列化漏洞的类型和数量都急剧上升。 Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, ...
failed to read class descriptor问题解决方案
weixin_40664307的博客
05-12 505
使用Netyy来进行传输文件,需要对类进行序列化。 public class FileUploadDto implements Serializable { //需要指定serialVersionUID,如果不指定系统会自动生成 private static final long serialVersionUID = -8633761675632152497l; } ...
Java编码指南:编写安全可靠程序的75条建议》—— 指南18:不要将使用降低安全性检查的方法暴露给不可信代码...
weixin_33850015的博客
05-02 585
本节书摘来异步社区《Java编码指南:编写安全可靠程序的75条建议》一书中的第1章,第1.18节,作者:【美】Fred Long(弗雷德•朗), Dhruv Mohindra(德鲁•莫欣达), Robert C.Seacord(罗伯特 C.西科德), Dean F.Sutherland(迪恩 F.萨瑟兰), David Svoboda(大卫•斯沃博达),...
Java】序列化
u010900754的专栏
06-23 132
为什么需要? 将内存中的对象信息持久化下来。 Serializable接口? 要想序列化一个对象,该对象的类定义必须实现Serializable接口,该接口只是一个标记接口,并不会承载任何序列化的功能。序列化过程中会检测对象是否是Serializable类型,如果不是就会抛出异常。 serialVersionUID? 以前写用ide程序时,总会碰到提示,让生成一个serialVersio...
java序列化_JAVA反序列化 commonscollections 1
weixin_39881760的博客
11-14 441
No.1声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。No.2前言这是个人学习java反序列化的第一篇利用链...
5-java安全——java反序列化机制分析
网络安全
06-25 817
通过上一篇的学习相信大家对java序列化机制非常熟悉了,本篇继续分析java反序列化底层机制。 反序列化机制主要由以下代码实现的: ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream); Student student = (Student) objectInputStream.readObject(); 不同的是,反序列化需要通过对象输入流ObjectInputStream 类从文...
Java序列化,碰到serialVersionUID不一致怎么处理?
xmt1139057136的专栏
06-13 721
你知道的越多,不知道的就越多,业余的像一棵小草!成功路上并不拥挤,因为坚持的人不多。编辑:业余草juejin.cn/post/6961229793056686117推荐:https://w...
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
Java反序列化漏洞分析
abg49988的博客
10-15 1392
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
shiro反序列化漏洞工具
05-23
Shiro 反序列化漏洞指的是 Apache Shiro 框架在处理用户输入的 Session 数据时没有正确地对反序列化进行限制,导致攻击者可以构造恶意的序列化数据来执行任意代码。攻击者可以利用这个漏洞来获取系统权限、窃取敏感...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值