java反序列化漏洞 https服务_【技术工场】浅谈Java反序列化漏洞

最新推荐文章于 2023-06-10 21:07:42 发布
最新推荐文章于 2023-06-10 21:07:42 发布
阅读量136 收藏
点赞数
文章标签: java反序列化漏洞 https服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39986060/article/details/114257369
版权

原标题:【技术工场】浅谈Java反序列化漏洞

背 景

Java的序列化和反序列化工作是通过ObjectOutputStream和ObjectInputStream来完成。ObjectOutputStream的writeObject方法可以把一个java对象写入流中,ObjectinputStream的readObject方法可以从流中读取一个java对象。

在写入和读取的时候,使用的参数或返回的值是单个对象,但JAVA实际操作的是一个对象图,包括该对象所引用的其他对象,以及这些对象所引用的另外的对象。JAVA会自动遍历对象图并逐个对其进行序列化。

一段JAVA序列化和反序列化代码示例

import java.io.*;/*import java.io.ObjectOutputStream;

import java.io.ObjectInputStream;

import java.io.FileOutputStream;

import java.io.FileInputStream;*/public class Java_Test{public static void main(String args[])throws Exception {

String obj = "ls "; //将序列化对象写入文件object.txt中

FileOutputStream fos = new FileOutputStream("aa.ser");

ObjectOutputStream os = new ObjectOutputStream(fos);

os.writeObject(obj);

os.close(); // 从文件object.txt中读取数据

FileInputStream fis = new FileInputStream("aa.ser");

ObjectInputStream ois = new ObjectInputStream(fis); //通过反序列化恢复对象obj

String obj2 = (String)ois.readObject();

System.out.println(obj2);

ois.close();

}

漏洞成因及案例

既然已经知道了序列化与反序列化的过程,那么如果反序列化的时候,这些即将被反序列化的数据是恶意攻击者特殊构造的,会导致什么发生呢?

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行等一系列后果。

Apache Commones Collections

反序列化漏洞案例

Apache Commons Collections组件被广泛应用于各种java应用的开发,其包含InvokerTransformer类可以通过调用java的反射机制来调用任意函数,其漏洞利用过程如下:

1.敏感的InvokerTransformer的transform(Object input)方法,可以通过调用Java的反射机制来调用任意函数;

2.ConstantTransformer中的transform(Object input)方法只返回传如对象,可以通过ConstantTransformer控制InvokerTransformer中的Object类型对象;

3.ChainedTransformer类串联所有Transformer的transform()方法;

这样形成了一个执行任意代码的执行链,当java每次读取序列化对象时,就会触发命令执行的Transform链:

9f0f9f0a4b4781d8b955d8dbcee66f3d.png

漏洞利用场景

常见的JAVA发序列化漏洞利用场景有如下集中可能:

1.信息泄露

被系列化的对象包含敏感数据的话,存在信息泄露的风险。

2.数据伪造

假设反序列化过程中没有对数据进行校验,则可以篡改被序列化的二进制流,来进行数据伪造。

3.拒绝服务

当篡改的数据不符合序列化对象的格式要求时候,可能会导致在反序列化对象的过程中抛出异常,从而拒绝服务。

4.RCE命令执行

当反序列化对象时的运行环境中存在有漏洞的jar包(如commons Collections低版本),攻击者通过构造恶意数据流可以达到命令执行的效果。

防御手段

1.对序列化的流数据进行加密

2.在传输过程中使用TLS加密传输

3.对序列化数据进行完整性校验

4.标记敏感字段,使其不进行序列化

5.通过实现validateObject方法来进行对象属性值的校验

6.使用白名单校验,如使用使用自定义的 SecObjectInputStream

7.升级包含漏洞的组件jar包、jdk版本、中间件软件版本等

参考资料

1.http://rui0.cn/archives/942 《Commons Collections反序列化漏洞分析》

2.https://mp.weixin.qq.com/s/8lkpqHJ_CrRizPDZ38svTg 《浅析java序列化与反序列化》

(本文来源:公众号“阳光测试在线”)

责任编辑:

weixin_39986060
关注
web安全不安全的反序列、命令执行漏洞解析
vivlol918的博客
05-15 1385
限制可执行命令的范围和使用权限。例如,限制可执行命令的用户、权限和执行路径等参数。
JAVA反序列化漏洞浅析
Hello World.c
02-17 1102
JAVA反序列化漏洞浅析 文章内容相关的POC已经上传至gitee需要自取 GITEE地址 工具 ysoserial 自动生成多种不同payload工具 src: https://github.com/frohoff/ysoserial jar: https://jitpack.io/com/github/frohoff/ysoserial/master-SNAPSHOT/ysoserial-master-SNAPSHOT.jar DeserializeExploit 一键自动攻击工具 jar:https:
java反序列化漏洞 https服务_JBoss “Java 反序列化”过程远程命令执行漏洞
weixin_34618077的博客
02-17 179
### 漏洞原理反序列化是指特定语言中将传递的对象序列化数据重新恢复为实例对象的过程,而在这个过程中会执行一系列的字节流解析和对象实例化操作用于恢复之前序列化时的对象。在原博文所提到的那些 Java 应用里都有特定的接口用于传递序列化对象数据,而在反序列化时并没有限制实例化对象的类型,导致可以任意构造应用中已经包含的对象利用反序列化操作进行实例化。Java 在进行反序列化操作的时候会使用 Obje...
java反序列化漏洞 https服务_25. Apache Shiro Java反序列化漏洞
weixin_39619481的博客
02-25 169
前言:最近在审核漏洞的时候,发现尽管Apache shiro这个反序列化漏洞爆出来好久了,但是由于漏洞特征不明显,并且shiro这个组件之前很少听说,导致大厂很多服务还存在shiro反序列化漏洞,这里对漏洞进行简单分析与复现。一.漏洞前析0x01 什么是Apache Shiro?Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理...
Java反序列化机制拒绝服务的利用与防御
fnmsd的博客
04-14 6545
可以利用手工构造的序列化数据来虚耗内存,可通过JEP290机制防御。
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
JAVA反序列化漏洞学习
qq_36495104的博客
08-31 359
拖了很久,迟早是要学的 配置Maven windows下安装配置Maven 下载地址: https://archive.apache.org/dist/maven/maven-3/ 参考链接里,作者说不建议下载太高版本,经笔者测试,3.6.3 idea报错,解决方案就是降版本。我用的eclipse没问题。 解压后,在conf目录找到settings.xml,修改local repo以及换镜像 <mirror> <id>alimaven</id>
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
java反序列化漏洞-验证.rar
06-25
Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。... 体积更小,不再依赖java
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
java反序列化漏洞分析
weixin_47623655的博客
03-30 2394
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
Java反序列化漏洞分析
qq_51453285的博客
06-10 1134
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化和反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞的攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击。
基础知识|反序列化命令执行漏洞
weixin_42282189的博客
11-04 3013
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
网络安全风险感知和发掘,练习题
g5703129的博客
03-28 2万+
一、单项选择题 1. BurpSuite插件支持哪两种编程语言?() A.C#、Java B.Java、Python C.Ruby、Perl D.PHP、Java 2. HTTP请求中,设置()请求方法可获取服务器的应用服务信息。 A.Head B.Trace C.POST D.OPTIONS 3. UNIX系统中用户的有效用户组是() A.运行时是不可变 B.任意...
java httpinvoker漏洞_一次Java反序列化漏洞的 “盲”利用
weixin_39979617的博客
02-16 410
在黑盒渗透测试中,我们遇到了一个 Java Web 应用程序,它向我们提供了一个登录页面。尽管我们设法绕过了认证机制,但是我们却做不了什么事情。攻击面还是很小,只能篡改一些东西。1. 确定入口点在登录页面中,我注意到每个登录请求都发送了一个隐藏的 POST 参数:这是个 Base64 RO0 (AC ED 的 HEX 编码)编码的字符串,证实了我们处理的是 Base64 编码过的 Java 序列化...
java反序列化漏洞解决建议_浅谈Java反序列化漏洞原理(案例未完善后续补充)...
weixin_32160507的博客
02-24 336
序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储java反序列化序列化就是将对象转换为流,利于储存和传输的格式反序列化与序列化相反,将流转换为对象例如:json序列化、XML序列化、二进制序列化、SOAP序列化序列化:java.io.ObjectOutputStream 类中的 writeObject()该方法把对象序列化,将字节序列写到一个目标输出流中(.ser扩展名)反序列化:j...
Matlab Simulink#直驱永磁风电机组并网仿真模型 基于永磁直驱式风机并网仿真模型 采用背靠背双PWM变流器,先整流
最新发布
09-18
Matlab Simulink#直驱永磁风电机组并网仿真模型 基于永磁直驱式风机并网仿真模型。 采用背靠背双PWM变流器,先整流,再逆变。 不仅实现电机侧的有功、无功功率的解耦控制和转速调节,而且能实现直流侧电压控制并稳定直流电压和网侧变换器有功、无功功率的解耦控制。 风速控制可以有线性变风速,或者恒定风速运行,对风力机进行建模仿真。 机侧变流器采用转速外环,电流内环的双闭环控制,实现无静差跟踪。 后级并网逆变器采用母线电压外环,并网电流内环控制,实现有功并网。 并网电流畸变率在2%左右。 附图仅部分波形图,可根据自己需求出图。 可用于自用仿真学习,附带对应的详细说明及控制策略实现的paper,便于理解学习。 模型完整无错,可塑性高,可根据自己的需求进行修改使用。 包含仿真文件和说明
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值