java httpinvoker漏洞_Java反序列化漏洞学习

最新推荐文章于 2023-05-28 16:11:17 发布
最新推荐文章于 2023-05-28 16:11:17 发布
阅读量694 收藏
点赞数
文章标签: java httpinvoker漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39683021/article/details/114192412
版权

序列化是Java提供的一种对象持久化保存的技术。常规对象在程序结束后会被回收,如果想把对象持久保存方便下次使用,需要序列化和反序列化。

序列化有两个前提:

类必须实现java.io.serializable接口

类所有字段都必须是可序列化的

反序列化漏洞利用原理

1. 利用重写ObjectInputStream的readObject

重写ObjectInputStream的readObject方法时,可执行恶意代码。定义一个类,并实现serializable接口:

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

public class User implementsSerializable {publicString name;public intage;publicString getUserInfo(){return "user name: "+this.name +" age: "+this.age;

}

}

View Code

对这个类进行序列化和反序列化(将序列化对象保存在user.txt中):

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

public classSerializeDemo {public static void main(String[] args) throwsIOException, ClassNotFoundException {

User user= newUser();

user.name= "路人";

user.age= 25;try{

FileOutputStream fileOut= new FileOutputStream("user.txt");

ObjectOutputStream out= newObjectOutputStream(fileOut);

out.writeObject(user);

out.close();

fileOut.close();

System.out.println("Serialized done");

}catch(IOException e) {

e.printStackTrace();

}

User user_out= null;

FileInputStream fileInput= new FileInputStream("user.txt");

ObjectInputStream in= newObjectInputStream(fileInput);

user_out=(User) in.readObject();

in.close();

fileInput.close();

System.out.println(user_out.getUserInfo());

}

}

View Code

执行结果:

4b5fa75cda94bece284e82a6a54580ae.png

user类重写readObject方法,并将恶意代码写在重写方法中:

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

private void readObject(ObjectInputStream in) throwsIOException, ClassNotFoundException {

in.defaultReadObject();

Runtime.getRuntime().exec("touch hello.txt");

}

View Code

执行序列化和反序列化之后,恶意代码执行成功:

0353b62a529cfd06f11659dbced4abb7.png

2. 利用反射

反射可以越过静态检查和类型约束,在运行期间访问和修改对象的属性和状态。通过反射机制执行恶意代码。InvokerTransformer可以通过调用Java的反射机制来调用任意函数

8f900a89c6347c561fdf2122f13be562.png

961ddebeb323a10fe0623af514929fc1.png

public classReflectDemo {public static voidmain(String[] args) {

InvokerTransformer it= newInvokerTransformer("exec",new Class[]{String.class},new Object[]{"open /Applications/Calculator.app/"});

it.transform(java.lang.Runtime.getRuntime());

}

}

View Code

恶意代码执行成功:

29ac9ce517ada612d9a4d47d3990cda3.png

但是在实际应用中,我们是不能直接把恶意代码写在对方的readObject中,或者把Runtime直接从外部传进去的,所以需要构造反射链payload来实现反序列化漏洞的利用。具体利用方式参考这篇文章:http://www.mi1k7ea.com/2019/02/06/Java%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E/

此外,还有一个叫做ysoserial的开源工具,集合了各种java反序列化payload,下载地址:

上一篇的漏洞利用库jmet-0.1.0-all.jar就是使用ysoserial生成的Payload。

关于java反序列化漏洞,咱目前只能理解到这个地步了(java水平有限 ..>_<..>

weixin_39683021
关注
漏洞复现】Jboss反序列化漏洞(CVE-2017-12149)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
08-17 908
JBOSS Application Server是一个基于J2EE的开放源代码的应用服务器。JBoss代码遵循LGPL许可,可以在任何商业应用中免费使用CVE-2017-12149漏洞:该漏洞Java反序列化错误类型,存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter ,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码。............
JAVA反序列化漏洞复现
墨鱼菜鸡
05-31 253
目录 Weblogic反序列化漏洞 Weblogic < 10.3.6 'wls-wsat' XMLDecoder 反序列化漏洞(CVE-2017-10271) Weblogic WLS Core Components 反序列化命令执行漏洞(CVE-2018-2628) Weblogic反序列...
Java HttpInvoker小试(转)
04-05
NULL 博文链接:https://zhuchengzzcc.iteye.com/blog/1534671
java httpinvoker漏洞_Jboss反序列化漏洞复现(CVE-2017-12149)
weixin_29447621的博客
02-16 437
Jboss反序列化漏洞复现(CVE-2017-12149)一、漏洞描述该漏洞Java反序列化错误类型,存在于jboss的HttpInvoker组件中的ReadOnlyAccessFilter过滤器中。该过滤器在没有进行任何安全检查的情况下尝试将来自客户端的数据流进行反序列化,从而导致了漏洞。二、漏洞影响版本Jboss 5.xJboss 6.x三、漏洞复现环境搭建Win7 :192.168.10....
JBoss HttpInvoker组件反序列化漏洞复现(CVE-2017-12149)
ATpiu的博客
03-29 1590
影响范围 5.x和6.x版本的JBOSS 基本原理 该漏洞位于JBoss的HttpInvoker组件中的 ReadOnlyAccessFilter 过滤器中,其doFilter方法在没有进行任何安全检查和限制的情况下尝试将来自客户端的序列化数据流进行反序列化,导致攻击者可以通过精心设计的序列化数据来执行任意代码 利用条件 invoker/readonly接口未做限制或过滤(一般该路径回显500)...
httpinvoker远程调用超时_【漏洞分析】Apache Solr远程代码执行漏洞(CVE20190193)
weixin_29041767的博客
12-01 512
本文作者:77 @奇安信A-TEAM在本篇文章中,我们将对Apache Solr远程代码执行漏洞(CVE-2019-0193)进行分析。声明:本篇文章由 77@奇安信A-TEAM原创,仅用于技术研究,不恰当使用会造成危害,严禁违法使用,否则后果自负。漏洞描述Apache Solr是美国阿帕奇(Apache)软件基金会的一款基于Lucene(一款全文搜索引擎)的搜索服务器。该产品支持层面搜...
invoker java_HttpInvoker.java
weixin_30863333的博客
02-23 100
package com.gaoxiao.framework.commonfiles.utils;import net.sf.json.JSONObject;import org.apache.commons.logging.Log;import org.apache.commons.logging.LogFactory;import org.apache.http.HttpEntity;impor...
java反序列化漏洞挖掘
qq_45001989的博客
09-08 1179
java反序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定反序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
JAVA反序列化漏洞(组件)
nigo134的博客
03-23 2202
weblogic:反序列化 Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。 漏洞检测: 可访问目录 /_async/AsyncResponseService /wls-w
Apache Dubbo反序列化漏洞复现分析
include_voidmain的博客
03-10 3101
Apache Dubbo反序列化漏洞复现分析
Java学习之路-Spring的HttpInvoker学习
可口可乐的博客
04-01 453
Hessian和Burlap都是基于HTTP的,他们都解决了RMI所头疼的防火墙渗透问题。但当传递过来的RPC消息中包含序列化对象时,RMI就完胜Hessian和Burlap了。   因为Hessian和Burlap都是采用了私有的序列化机制,而RMI使用的是Java本身的序列化机制。如果数据模型非常复杂,那么Hessian/Burlap的序列化模型可能就无法胜任了。   Spring开发团队
Invoker反序列化
suo_y的博客
04-21 404
安装JAVA环境 安装jboss 1、https://download.jboss.org/jbossas/6.1/jboss-as-distribution-6.1.0.Final.zip)。解压后,进入bin目录,启动jboss: ./run.sh -c default -Djboss.bind.address=0.0.0.0。 2、浏览器访问:http://IP:8080/ 生成命令序列化文件 1、Base64(echo 1 > ~/test.log) 为MQo= 2、下载工具jar包:ht
JavaInvoke方法
最新发布
xiaobei72aaa的博客
05-28 1409
看起来invoke方法不仅比平常方法直接调用要麻烦很多,但是你有想过吗,我只需要输入参数,我可以调用替代各种方法,在未知的情况下,根据条件决定去调用什么对象,什么方法,一下子就让代码变得灵活,这不仅是invoke的妙处,也是整个反射的妙处,在程序运行时根据条件灵活使用。invoke的意思上就有调用的意思,也就是说我们可以通过反射包下的Method类调用invoke方法,调用我们所提供的方法以及调用方法的参数来完成动态调用。大概意思就是说提供类或者接口的方法信息,就可以访问调用对应的方法。
java invoker_http-invoker
weixin_42109125的博客
03-06 533
花了一点时间,包装了下httpclient,填了常见的坑。有兴趣的戳下方链接~~基于apache httpclient的轻量http请求特性封装了httpclient, 仅暴露常用的配置, 将常见的坑填上接口设计参考jsoup http, 十分便捷的请求让人耳目一新支持所有的请求方式, GET,POST,PUT,DELETE,PATCH,HEAD,OPTIONS,TRACE可以像rpc请求一样发h...
invoker java_Java Invoker.toString方法代码示例
weixin_39693437的博客
02-16 105
import com.alibaba.dubbo.rpc.Invoker; //导入方法依赖的package包/类private static Invoker buildInvokerChain(final Invoker invoker, String key, String group) {Invoker last = invoker;List filters = ExtensionLoad...
Spring RMI反序列化漏洞分析
qq_43936524的博客
04-08 927
文章目录概况ReadObject流程Jndi注入POC分析server部分client部分恶意类部分整体的攻击流程 概况 漏洞的入口在于Spring-tx-xxx.jar中的JtaTransactionManager重写了ReadObject方法,该方法中的UserTransactionName可控,且初始化UserTransactionName的时候调用了Jndi的lookup方法,导致 Jndi注入的问题。 ReadObject流程 首先是重写的ReadObject函数 private void rea
序列化,反序列化技术,__sleep __wakeup __tostring __invoke()
qq_37171379的博客
02-12 1184
含义: 序列化: 就是将一个变量所代表的“内存”数据,转换为“字符串”形式并持久保存在硬盘上的一种做法。 反序列化: 就是将序列化之后保存在硬盘上的“字符串数据”,恢复为其原来的内存形式的变量数据的一种做法。 序列化的做法: $v1 = 123; //这是一个变量,代表任意的内存数据 $s1 = serialize( $v1 ); //将任何类型的变量数据,转换为“字符串” file_put...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值