java获取远程服务器的目录_【漏洞复现】 CVE201914540远程代码执行漏洞分析&复现...

最新推荐文章于 2023-03-21 10:33:34 发布
最新推荐文章于 2023-03-21 10:33:34 发布
阅读量681 收藏
点赞数
文章标签: java获取远程服务器的目录 不能从远程创建com+对象 将服务器上的class文件拉到本地执行正常服务器上不行

bc0d32be0be93f208df556f6e54d9813.png

0x00 前言

从2017年3月15日,fastjson官方主动爆出框架存在远程代码执行高危安全漏洞以后,好像fastjson库漏洞频出。正好最近又爆出了个CVE-2019-14540,影响jackson,同时也影响fastjson,漏洞原理都是利用反序列化造成RCE,所以借此分析CVE-2019-14540的同时好好学习一下相关知识。

0x01 影响范围

fastjson影响版本: version < 1.2.60 ,修复commit: https://github.com/alibaba/fastjson/commit/5d09b913a533cf2d2eeea1124337681494804336,建议升级到1.2.60或以上版本。
jackson-databind影响版本: version < 2.9.10 ,官方发布详情: https://github.com/FasterXML/jackson-databind/blob/master/release-notes/VERSION-2.x,修复commit: https://github.com/FasterXML/jackson-databind/commit/d4983c740fec7d5576b207a8c30a63d3ea7443de,建议升级到2.9.10或以上版本。

0x02 漏洞分析

分析CVE之前我们先一起学习下前置知识,以便于对漏洞有个更深刻的认识。

前置知识

序列化与反序列化

先来看一下序列化与反序列化的概念:
序列化:把对象转换为字节序列的过程称为对象的序列化。
反序列化:把字节序列恢复为对象的过程称为对象的反序列化。
什么意思呢?以Java为例,在描述一个事物的时候会定义一个类,当需要真正使用这个类的时候,通常需要把它实例化成一个对象,这个对象它是实实在在占用内存空间的,而内存里面的数据表现形式都是二进制,如果我们想把内存中的对象持久化保存起来,这段二进制存储成本地文本文件的过程就可以把它理解成对象的序列化。反之亦然,把文本文件恢复到内存中的过程就可以理解成对象的反序列化。当然,序列化除了本地持久化以外,还可以把内存中的二进制转换成数据流用于网络传输。

RMI远程方法调用

RMI(Remote Method Invocation)是JDK 1.2版本中实现的一种远程方法调用机制,是分布式编程中的基本思想。利用这种机制可以让某台服务器上的对象在调用另外一台服务器上的方法时,和在本地机上对象间的方法调用的语法规则一样。实现原理图如下:

8534d4d2de1658665798104d18dadf3e.png

下面我们来看demo代码帮助理解RMI:

服务端工程目录结构如下:

RMIServerDemo│  .classpath│  .project│├─.settings│      org.eclipse.jdt.core.prefs│├─bin│  └─com│      └─rmitest│              RmiSample.class│              RmiSampleImpl.class│              RmiSampleServer.class│└─src    └─com        └─rmitest                RmiSample.java                RmiSampleImpl.java                RmiSampleServer.java

定义远程接口RmiSample.java

package com.rmitest;import java.rmi.Remote;import java.rmi.RemoteException;//远程接口必须继承Remotepublic interface RmiSample extends Remote{
        //所有远程实现方法必须抛出RemoteException    public  int sum(int a,int b) throws RemoteException;}

实现远程接口RmiSampleImpl.java

package com.rmitest;import java.rmi.RemoteException;import java.rmi.server.UnicastRemoteObject;//必须继承UnicastRemoteObjectpublic class RmiSampleImpl extends UnicastRemoteObject implements RmiSample{
        //覆盖默认构造函数并抛出RemoteException    public RmiSampleImpl() throws  RemoteException{
               super();    }    //方法实现,所有远程实现方法必须抛出RemoteException    public int sum(int a,int b) throws  RemoteException{
               return a+b;    }}

服务器程序RmiSampleServer.java

package com.rmitest;import java.rmi.Naming;import java.rmi.registry.LocateRegistry;import java.rmi.registry.Registry;
最低0.47元/天 解锁文章
weixin_39933026
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
jackson-databind反序列化漏洞
公众号shadow sock7
09-17 7701
CVE-2019-14540 A Polymorphic Typing issue was discovered in FasterXML jackson-databind before 2.9.10. It is related to com.zaxxer.hikari.HikariConfig. 这里使用的是:com.zaxxer.hikari.HikariConfig CVE-2019-...
jackson 序列化_CVE201912384:Jackson反序列化漏洞分析
weixin_39649660的博客
11-29 369
译文声明本文是翻译文章,文章原作者doyensec,文章来源:blog.doyensec.com原文地址:https://blog.doyensec.com/2019/07/22/jackson-gadgets.html译文仅供参考,具体内容表达以及含义原文为0x00 前言在某次渗透测试过程中,我们分析的某个应用使用Jackson库来反序列化JSON数据。经过分析后,我们找到了一个反序列...
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 813
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
fastjson反序列化map_fastjson反序列化复现
weixin_39922749的博客
12-03 477
fastjson反序列化准备1.marshalsec ---可用jar包 参考:github:https://github.com/LeadroyaL/cve-2019-14540-exploitgitclonehttps://github.com/mbechler/marshalsec.gitmvnpackage-DskipTests-DskipTests,不执行测...
centos7 mysql升级漏洞5.7.30
qq_40988607的博客
12-07 4507
公司安全扫描,发现mysql存在漏洞,高危漏洞编号为(CVE-2019-5482)、(CVE-2019-3822)、(CVE-2020-2804) 目前mysql版本为mysql-5.7.26,而以上漏洞存在与5.7.29,所以要升级mysql版本到5.7.30;以下为升级文档供大家参考; 转载请注明出处https://editor.csdn.net/md?not_checkout=1&articleId=110822451
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
mysql[漏洞打补丁]小版本升级5.7.25到5.7.28
m0_67401920的博客
04-07 1648
mysql[漏洞]小版本升级 事件背景 近日,公司进行安全扫描,发现mysql存在漏洞,高危漏洞编号为(CVE-2019-3822),此外还有多个中危,低危漏洞,目前mysql版本为5.7.25 解决方案 对mysql进行小版本升级到5.7.28,生产环境无法联网,用rpm 包离线安装,选择就地升级。 Mysql的两种升级方式 就地升级(In-place Upgrade) 关闭旧版本mysql,用新的替换旧的二进制文件或软件包,在现有数据目录上重启数据库,执行mysql_upgrade 逻辑升级(L
java rmi反序列化安全漏洞问题解决方案
limingdepoxiao的博客
06-25 2319
解决方案 1、关闭javarmi服务的端口在公网的开放; 2、下载SerialKiller临时补丁,这个jar后放置于classpath,将应用代码中的java.io.ObjectInputStream替换为SerialKiller,之后配置让其能够允许或禁用一些存在问题的类,SerialKiller有Hot-Reload,Whitelisting,Blacklisting几个特性,控制了外部输入反序列化后的可信类型 例如:采用下载SerialKiller补丁,将IDoc2PdfUtilServic.
漏洞名称:RMI 未授权访问漏洞
qq_36902628的博客
03-21 1693
漏洞名称:RMI 未授权访问漏洞
JDBC笔记5--结果集
su_unknown_world的博客
11-22 243
JDBC笔记5--结果集1、ResultSet 得到数据2、ResultSetMetaData结果集元数据得到对应的属性3、问题4、释放资源 1、ResultSet 得到数据 查询需要调用PreparedStatement 的 executeQuery() 方法,查询结果是一个ResultSet 对象 ResultSet 对象以逻辑表格的形式封装了执行数据库操作的结果集,ResultSet 接口由数据库厂商提供实现 ResultSet 返回的实际上就是一张数据表。有一个指针指向数据表的第一条记录
Windows提权工具 CVE-2019-1405 & CVE-2019-1322
K8哥哥
07-15 1608
漏洞介绍 由NCC Group研究人员所发现的两个通过COM本地服务进行非法提权的漏洞。第一个漏洞CVE-2019-1405是COM服务中的一个逻辑错误,可让本地普通用户以LOCAL SERVICE身份执行任意命令。第二个漏洞CVE-2019-1322是一个简单的服务配置错误,可让本地SERVICE组中的任何用户重新配置以SYSTEM权限运行的服务(此漏洞也被其他研究人员发现)。当以上两个漏洞结合在一起时,就允许本地普通用户以SYSTEM权限执行任意命令。 全面检查了一些Windows服务,发现以LOCAL
Tomcat RCE 漏洞复现CVE-2019-0232)
热门推荐
大哥一声吼
04-18 1万+
漏洞影响范围,直接看官方公告: 总结起来漏洞影响范围如下: tomcat 7.0.04之前 tomcat 8.5.40之前 tomcat 9.0.19之前 版本都会影响 (tomcat 服务器版本在受影响范围内的小伙伴可以打一波补丁了) 测试环境 tomcat 版本8.5.31 jdk版本8.121 漏洞利用前提 修改conf里面的内容 第一处:con...
RMI反序列漏洞复现-——手把手光速复现,工具超全
weixin_37771454的博客
03-24 3089
RMI反序列漏洞复现-手把手光速复现,工具超全一、靶机部署:二、本机怎样查看是不是可以回显?三、attackRMI利用 RMI是REMOTE METHOD INVOCATION的简称,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象,可以从另一个JAVA虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,...
fastjson< 1.2.69远程代码执行漏洞cve编号
最新发布
01-04
fastjson< 1.2.69远程代码执行漏洞CVE编号是CVE-2021-21351。该漏洞源于fastjson在处理JSON数据时存在安全漏洞,攻击者可以通过精心构造的JSON数据来实现远程代码执行,从而对系统进行攻击。 漏洞的产生主要是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值