java序列化_渗透测试之Java反序列化

最新推荐文章于 2023-11-22 22:44:09 发布
最新推荐文章于 2023-11-22 22:44:09 发布
阅读量321 收藏 1
点赞数
文章标签: java序列化

          点击上方”LSCteam”,选择置顶或星标

                       第一时间阅读精彩文章!

渗 透 测 试

之 Java 反 序 列 化

64a2fb52182e0c88d8a79c874412ab65.png

1

Java序列化与反序列化

序列化与反序列化是java提供的用于将对象进行持久化便于存储或传输的手段。

举个例子:Java描述的是一个“世界”,程序运行开始时,这个“世界”也开始运作,但“世界”中的对象不是一成不变的,它的属性会随着程序的运行而改变。

有时,我们需要保存某一刻某个对象的信息,来进行一些操作。比如利用反序列化将程序运行的对象状态以二进制形式储存与文件系统中,然后可以在另一个程序中对序列化后的对象状态数据进行反序列化恢复对象。这两个过程结合起来,可以轻松地存储和传输数据。

这就是序列化与反序列化的意义所在.75fd18276cb8223cf25f6b4312e79608.png

比较出名的反序列化漏洞有:

1、CVE-2015-7501 Apache Commons Collections

Apache Commons Collections可以扩展或增加Java集合框架,是Commons Proper的一个组件,该组件是一个可重复利用Java组件库。Apache Commons Collections (ACC) 3.2.1及4.0版本未能正确验证用户输入,其InvokerTransformer类在反序列化来自可疑域的数据时存在安全漏洞,这可使攻击者在用户输入中附加恶意代码并组合运用不同类的readObject()方法,在最终类型检查之前执行Java函数或字节码(包括调用Runtime.exec()执行本地OS命令)

2、CVE-2015-7450(Websphere)

由于使用JavaInvokerTransformer类对数据进行反序列化,Apache Commons Collections可能允许远程攻击者在系统上执行任意代码。通过发送特制数据,攻击者可以利用此漏洞在系统上执行任意Java代码。

64a2fb52182e0c88d8a79c874412ab65.png

2

漏洞由来

1、开发失误:

(1)重写ObjectInputStream对象的resolveClass方法中的检测可被绕过。

(2)使用第三方的类进行黑名单控制。虽然Java的语言严谨性要比PHP强,但在应用中想要采用黑名单机制禁用掉所有危险的对象是不可能的。因此,如果在审计过程中发现了采用黑名单进行过滤的代码,多半存在漏洞可以利用。

2、基础库中隐藏的反序列化漏洞

3、POP Gadgets

64a2fb52182e0c88d8a79c874412ab65.png

3

漏洞原理

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

64a2fb52182e0c88d8a79c874412ab65.png

4

发现漏洞

1、白盒测试:

可以搜索一些函数如:

XMLDecoder.readObject、Yaml.load、XStream.fromXML等(小数点前面是类名,后面是方法名),确定了反序列化输入点后,再考察应用的ClassPath中是否包含ApacheCommons Collections等危险库,若不包含危险库,则查看一些涉及命令、代码执行的代码区域,防止因代码不严谨,导致bug。若包含危险库,则使用ysoserial进行攻击复现。

2、黑盒测试:

我们可以通过抓包来检测请求中可能存在的序列化数据。序列化数据通常以AC ED开始,之后的两个字节是版本号,版本号一般是00 05但在某些情况下可能是更高的数字。

64a2fb52182e0c88d8a79c874412ab65.png

5

原理分析

首先定义一个user类需继承Serializable188acffd77f01cf8bda888d1aa0d9c00.png

编写一个测试类,生成一个user对象,将其序列化后的字节保存在硬盘上,然后再读取被序列化后的字节,将其反序列化后输入user的name属性

69905368f7a73b301ec7f631c87daada.png

378570557cbf3225a5e80333c4a75ed3.png

运行后输出name属性:test

a15ab7fdbcf943c2f847cc5844c531c0.png

为了构造一个反序列化漏洞,需要重写user的readObjec方法,在改方法中弹出计算器:
重写readObjec后的user类:

3b91fc4a0554c47416b348c9ccd0b39a.png

再次运行测试类,发现计算器已经弹出:

eaf722fd779ae74d260a75ae2303dbfb.png

 只需要修改

Runtime.getRuntime().exec("calc.exe");中的calc.exe即可执行任意命令

64a2fb52182e0c88d8a79c874412ab65.png

6

修复方案

1、将服务器安装的JDK升级到官方最新版本,可以防范目前以往所有公布的Java反序列化漏洞。

2、对于weblogic中间件反序列化漏洞,需要及时打上最新的补丁,或者配置防火墙策略,屏蔽掉T3协议的访问,只开放对HTTP、HTTPS访问。

3、对于Jboss、tomcat等中间件的反序列化漏洞,可以将存在反序列化漏洞的jar包升级到最新版本,但特殊情况下,需要升级的jar包种类比较多,此修复建议很费时。

4、检测防火墙配置,是否开启对Java反序列化漏洞的防范策略。

*参考来源:wx5b0b88843cb2a

61ee680eb2bb1801dc9a2e1674ce3f38.gif

往期精选

标准解读之个人信息安全规范
勒索病毒再次袭来
WannaRen勒索病毒作者竟然这么怂?
盘点近十年重大网络安全事件(1)
盘点近十年重大网络安全事件(2)

点一下在看再走吧

3408b1da881b76d31ea5156b2952a5ca.gif

weixin_39983554
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反序列化漏洞分析
weixin_47623655的博客
03-30 2350
Java反序列化漏洞(Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450
草衣的博客
05-30 1万+
刚刚完成了一个项目,在上线之前请求安全部门进行漏洞扫描,其中有一个漏洞名称是“WebSphere Comments Collections组件反序列化漏洞(CVE-2015-7450)”,按照扫描结果的提示解决方案,成功解决了,先分享一下。 详细描述 Apache Commons Collections可以扩展或增加Java集合框架,是Commons Prope
[应用漏洞]CVE-2015-7450 WebSphere命令执行
不忘初心,护天下安全!
07-28 4374
本文参考https://mp.weixin.qq.com/s/nfdyCKMP-dkTWx5SIMX1bg 一、WebSphere WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。WebSphere 提供了可靠、灵活和健壮的软件。它是一个模块化的平台,基于业界支持的开放标准。可以通过受信任和持久的接口,将现有资产插入 WebSphere,可以继续扩展环境。WebSph
深入浅出带你学习WebSphere中间件漏洞
发果叁
02-16 1803
今天总结了一下WebSphere中间件的常见漏洞,也是作为中间件漏洞介绍的最后一篇文章,回看这几篇文章,会思考的小伙伴已经可以发现不同中间件的漏洞总会有相似的地方,这需要我们多多总结,有兴趣的小伙伴不妨自己搭建靶机试一下,喜欢本文希望可以一键三连。最近找到一个VUE的文档,它将VUE的各个知识点进行了总结,整理成了《Vue 开发必须知道的36个技巧》。内容比较详实,对各个知识点的讲解也十分到位。
Websphere远程代码执行-CVE-2015-7450
SunshineBoY__的博客
08-14 2183
WebSphere 简介 WebSphere 是 IBM 的软件平台。它包含了编写、运行和监视全天候的工业强度的随需应变 Web 应用程序和跨平台、跨产品解决方案所需要的整个中间件基础设施,如服务器、服务和工具。WebSphere 提供了可靠、灵活和健壮的软件。 漏洞影响版本 IBM Websphere Application Server 7.0 IBM Websphere Application Server 6.2 漏洞复现 WebSphere的反序列化漏洞默认配置发生在通信端口8880,如果是本地搭
Java反序列化漏洞分析
qq_51453285的博客
06-10 1066
Java反序列化漏洞(Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-t:对生成的payloads进行解码测试 -v:verbose mode, 展示生成的payloads gadget_type:指定使用的payload arguments - payload运行时使用的参数 marshalsec.<marshaller>:指定exploits,根目录下的java文件名
java反序列化利用程序UI版Beta1.1.rar
07-20
1. **Java序列化机制**:Java对象序列化是通过实现`Serializable`接口来标记一个类可被序列化。`ObjectOutputStream`用于将对象写入流,`ObjectInputStream`用于从流中读取并反序列化对象。 2. **易受攻击的库**:...
ShiroExp-1.3.1-all.jar shiro反序列化检测工具
01-12
ShiroExp-1.3.1-all.jar shiro反序列化检测工具 我这里是用于搭建攻防演练演示环境用
java反序列化利用程序UI版Beta1.1.zip
11-24
"java反序列化利用程序UI版Beta1.1.zip" 提供的可能是一个图形界面工具,用于演示或测试这种漏洞。 在该压缩包中,我们可以看到以下几个关键文件: 1. `fileupload_payload.bin`:这可能是一个预构建的payload,...
java反序列化漏洞(入门)
xiaoheizi的博客
07-02 765
http参数,cookie,sesion,存储方式可能是base64(rO0),压缩后的base64(H4s),MII等Servlets http,Sockets,Session管理器,包含的协议就包括:JMX,RMI,JMS,JND1等(\xac\Xed) xm lXstream,XmldEcoder等(http Body:Content-type: application/xml)json(jackson,fastjson)http请求中包含。运行反序列化代码,可以看到序列化的数据被还原了。
Java反序列化漏洞及实例详解
ran的博客
04-15 3626
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
Web安全--反序列化漏洞(java篇)
bobo_milk的博客
11-29 3079
java反序列化参考
Java 反序列化漏洞
qq_61553520的博客
05-24 4660
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
java反序列化java代码解释什么是反序列化漏洞
最新发布
wj33333的博客
11-22 417
反序列化漏洞是一种常见的安全漏洞,它出现在对象反序列化的过程中。序列化是将对象转化为可以持久保存或在网络间传输的字节流的过程,而反序列化则是将这些字节流重新转换为对象的过程。如果攻击者能够控制序列化过程,就可以在反序列化过程中执行恶意代码。接口,这意味着它可以被序列化并在网络上传输。但是,当攻击者将自定义的序列化流发送到反序列化函数时,就会引发安全问题。例如,攻击者可以发送一个带有恶意数据的流,然后在其被反序列化时执行恶意代码。
【代码扫描修复】不安全的反序列化攻击(高危)
ACGkaka的博客
11-07 1771
【代码扫描修复】不安全的反序列化攻击(高危)
Commons Collections Java反序列化漏洞深入分析
热门推荐
大树叶 技术专栏
04-27 1万+
http://www.myhack58.com/Article/html/3/62/2015/69493.htm 今年目前为止Java方面影响力最大的漏洞莫过于这段时间持续火热的CommonsCollections反序列化漏洞了。 在2015年11月6日FoxGlove Security安全团队的@breenmachine 发布了一篇长博客里,借用Java反序列化和Apache Com
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值