rmi 反序列化漏洞_java反序列化漏洞—被低估的破坏之王

最新推荐文章于 2024-03-10 09:15:00 发布
最新推荐文章于 2024-03-10 09:15:00 发布
阅读量171 收藏
点赞数
文章标签: rmi 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39788256/article/details/112821597
版权
本文探讨了Java反序列化漏洞,特别是RMI协议中的安全隐患。安全专家发现,即使在漏洞公开9个月后,仍缺乏有效的补丁。此漏洞允许远程代码注入,影响包括WebLogic、WebSphere、JBoss、Jenkins和OpenNMS等产品。通过分析序列化和反序列化过程,揭示了恶意攻击者如何构造特殊输入以执行任意代码。
摘要由CSDN通过智能技术生成

【IT168 资讯】IT168 资讯】近日,2015年最为被低估的,具有巨大破坏力的漏洞浮出水面。在FoxGlove Security安全团队的@breenmachine 发布一篇博客中介绍了该漏洞在最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中的应用,实现远程代码执行。更为严重的是,在漏洞被发现的9个月后依然没有有效的java库补丁来针对受到影响的产品进行加固。现在,让我们探讨下该漏洞的原理以及应用。

背景:

java反序列化漏洞

java反序列化漏洞是一类被广泛应用的漏洞,绝大多数的编程语言都会提供内建方法使用户可以将自身应用所产生的数据存入硬盘或通过网络传输出去。这种将应用数据转化为其他格式的过程称之为序列化,而将读取序列化数据的过程称之为反序列化。

当应用代码从用户接受序列化数据并试图反序列化改数据进行下一步处理时会产生反序列化漏洞。该漏洞在不同的语言环境下会导致多种结果,但最有危害性的,也是之后我们即将讨论的是远程代码注入。

2.java反序列化漏洞发现历程

在最近几年间,不断的有java反序列化漏洞被曝光。最近的几次分别产生于spring框架以及Groovy还有文件上传的java库中,这些漏洞均得到了修复。

但在最近的研究中,安全人员发现java反序列漏洞远远不止上述几处,该漏洞广泛的存在于java库中。

Java反序列化漏洞:

漏洞产生原因:

在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:

HTTP请求中的参数,cookies以及Parameters。

RMI协议,被广泛使用的RMI协议完全基于序列化

<
最低0.47元/天 解锁文章
weixin_39788256
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA反序列化漏洞浅析
谢公子的博客
12-20 9409
目录 反序列化漏洞 序列化和反序列化 JAVA WEB中的序列化和反序列化 对象序列化和反序列范例 JAVA中执行系统命令 重写readObject()方法 Apache Commons Collections 反序列化漏洞payload JAVA Web反序列化漏洞的挖掘和利用 由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂,仅仅是能看懂而已。本文参照几位大佬...
rmi 反序列化漏洞_Java安全之RMI反序列化
weixin_35374026的博客
01-13 1170
Java安全之RMI反序列化0x00 前言在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。 JNI在安全里面的运用就比较大了,既然可以...
rmi反序列化导致rce漏洞修复_RMI反序列化漏洞分析
weixin_39710249的博客
12-23 463
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。JavaRMI极大地依...
反序列化漏洞_Dubbo反序列化漏洞复现分析
weixin_39607837的博客
12-14 248
1.Dubbo框架简介Dubbo是⼀个⾼性能服务框架,致⼒于提供⾼性能和透明化的RPC远程服务调⽤⽅案,以及SOA服务治理⽅案,使得应⽤可通过⾼性能RPC实现服务的输出和输⼊功能,和Spring框架可以⽆缝集成。作为⼀个分布式服务框架,以及SOA治理⽅案,Dubbo其功能主要包括:1.⾼性能NIO通讯及多协议集2.成服务动态寻址与路由3.软负载均衡与容错4.依赖分析与服务降级具体看这篇⽂...
【vulhub】Weblogic(CVE-2018-2628)漏洞复现
qq_45300786的博客
04-10 2508
一、什么是WebLogic WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。 先提几个概念 JRMP:java remote method protocol,Java远程方法协议 JRMP是的Java技术协议的具
javaRMI反序列化漏洞验证工具
08-21
**Java RMI反序列化漏洞概述** Java RMI反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到未经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程...
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
java反序列化漏洞-验证.rar
06-25
压缩包内的“attackRMI.jar”可能是用来模拟远程方法调用(RMI)场景的,因为RMIJava反序列化漏洞的常见利用场景之一。RMI允许远程对象像本地对象一样被调用,但如果没有正确处理反序列化的对象,就可能成为攻击的...
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
java反射:2、什么是java序列化?什么情况下需要序列化?
weixin_42924812的博客
11-23 685
文章目录什么是java序列化什么情况下需要序列化 什么是java序列化 什么情况下需要序列化
rmi 反序列化漏洞_【漏洞复现】Weblogic反序列化漏洞(CVE-2018-2628)
weixin_39827905的博客
01-30 124
漏洞描述:Weblogic Server中的RMI 通信使用T3协议在Weblogic Server和其它Java程序(客户端或者其它Weblogic Server实例)之间传输数据, 服务器实例会跟踪连接到应用程序的每个Java虚拟机(JVM)中, 并创建T3协议通信连接, 将流量传输到Java虚拟机. T3协议在开放WebLogic控制台端口的应用上默认开启. 攻击者可以通过T3协议发送恶意的...
java rmi反序列化漏洞 简介
whatday的专栏
07-01 885
目录 一、RMI简介 二、RMI示例 三、漏洞复现 四、漏洞分析 1、为什么这里的badAttributeValueExpException对象是通过反射构造,而不是直接声明? 2、为什么不直接将badAttributeValueExpException对象bind到RMI服务? 一、RMI简介 首先看一下RMI在wikipedia上的描述: Java远程方法调用,即Java RMIJava Remote Method Invocation)是Java编程语言里,一种用于实现远程.
rmi反序列化导致rce漏洞修复_记一次Java反序列化漏洞的发现和修复
weixin_39604516的博客
12-23 651
作者:bit4@勾陈安全0x00 背景简介本文是自己对一次反序列化漏洞的发现和修复过程,如有错误请斧正,大神请轻喷。目标应用系统是典型的CS模式。客户端是需要安装的windows桌面程序,但是它是大部分内容都是基于Java开发(安装目录有很多Jar包)。服务端是基于Jboss开发。客户端和服务端之间的通信流量是序列化了的数据流量。客户端接收和解析数据流量的模式和服务端一样,也是通过http服务,它...
rmi 反序列化漏洞_写一个rmi反序列化工具
weixin_39997037的博客
01-07 2173
RMI(java 远程方法调用),RMI服务端和客户端之间通过序列化对象进行传输,所以JDK8 U121之前的版本存在反序列化漏洞RMIjava反序列化原理就不详细介绍了。RMI反序列化利用成功的条件如下:1.能够进行rmi通信。2.JDK版本小于8.0.1213.引入存在反序列化链的库,以commons.collections为例的话,就需要其版本小于commons.collec...
rmi 反序列化漏洞_Java反序列化漏洞详解
weixin_36319281的博客
12-31 520
阅读:26,150Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化漏洞简述后,并对于Java反序列化的Poc进行详细解读。Java反序列化漏洞简介Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方...
rmi远程代码执行漏洞_WebSphere 远程代码执行漏洞CVE20204450
weixin_39820173的博客
01-05 744
漏洞名称:WebSphere 远程代码执行漏洞CVE-2020-4450威胁等级:高危影响范围:WebSphere Application Server 9.0.0.0 - 9.0.5.4WebSphere Application Server 8.5.0.0 - 8.5.5.17漏洞类型:远程代码执行利用难度:中等漏洞分析1 WebSphere 组件介绍WebSphere 是 IB...
Java RMI 远程代码执行漏洞
LuckySec
11-30 3352
Java RMI服务是远程方法调用,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程Java对象,可以从另一个Java虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,使分布在不同的JVM中的对象的外表和行为都像本地对象一样。在RMI的通信过程中,默认使用序列化来完成所有的交互,如果该服务器Java RMI端口(默认端口1099)对公网开放,且使用了存在漏洞的Apache Commo
漏洞名称-RMI 未授权访问漏洞
qq_44005305的博客
03-10 1119
漏洞描述:RMI默认使用序列化来完成所有的交互,如果该端口暴露在公网上,且使用了Apache CommonsCollections的漏洞版本,就可以在该服务器上执行相关命令。漏洞危害:攻击者可在没有认证的情况下直接操作对应的 API接口,可直接被非法增删改次数据。且因为攻击是在未认证下进行的,所以后续无法通过定位用户进行异常排查。
RMI反序列化漏洞 修复
最新发布
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值