反序列化工具_Hessian反序列化RCE漏洞复现及分析

最新推荐文章于 2024-07-11 09:19:22 发布
最新推荐文章于 2024-07-11 09:19:22 发布
阅读量1.4k 收藏 1
点赞数
文章标签: 反序列化工具 客户端序列码生成
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40003512/article/details/111299471
版权
本文介绍了Hessian轻量级RPC框架的反序列化RCE问题,通过搭建测试环境、启动JNDI利用工具、生成payload、发送payload到服务器以及分析过程,详细展示了如何复现此漏洞。利用marshalsec工具生成Resin payload,通过Java客户端调用服务器方法,揭示了HessianServlet中可能存在的安全风险。
摘要由CSDN通过智能技术生成

Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。

Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。

使用marshalsec项目工具(https://github.com/mbechler/marshalsec)可生成利用payload,包括SpringCompAdv,Resin, ROME, XBean

04140ce2f2f365194cc505f9c161dcea.png

下面使用Resin payload复现Hessian反序列化RCE漏洞

一、搭建测试环境

测试环境使用最新jar包

eb869a39ea0f3e09c943d188e64ef307.png

将HessianTest.war放到tomcat/webapp/目录下并启动tomcat

083bf1bb6e76e19a99585aa123beb272.png

最低0.47元/天 解锁文章
weixin_40003512
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hessian 反序列化RCE漏洞复现
0xSec
12-29 2393
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且Hessian的JAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。Hessian是一个轻量级的RPC框架。
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4356
Java Hessian反序列化漏洞复现
ROME 反序列化
最新发布
2301_79700060的博客
07-11 681
ROME是主要用于解析RSS和Atom种子的一个Java框架。ROME 是一个可以兼容多种格式的 feeds 解析器,可以从一种格式转换成另一种格式,也可返回指定格式或 Java 对象。ROME 兼容了 RSS (0.90, 0.91, 0.92, 0.93, 0.94, 1.0, 2.0), Atom 0.3 以及 Atom 1.0 feeds 格式。他有个特殊的位置就是ROME提供了ToStringBean这个类,提供深入的toString方法对Java Bean进行操作。
SOFA-Hessian序列漏洞
weixin_47208161的博客
02-21 835
背景笔者注意到https://github.com/alipay/sofa-hessian提到了安全相关: 直觉告诉我在实际工作中建设总比破坏更难,总有业务团队和安全团队...
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 862
Hessian反序列化漏洞学习记录
Hessian 反序列化及XXL-JOB
zkaqlaoniao的博客
11-29 1120
我们经常在CTF里见到Java反序列化的题,而如何从CTF过渡到实战中是一个坎儿,今天就说一次在实战中遇到的不出网Hessian反序列化问题。文章所有内容无敏感信息,均为本地环境,只做思路分享。
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解测试 -v:verbose mode...
Nacos JRaft Hessian 反序列化 RCE 分析.pdf
04-22
### Nacos JRaft Hessian 反序列化 RCE 分析 #### 一、背景介绍 Nacos 是阿里巴巴开源的一款易于构建云原生应用的动态服务发现、配置管理和服务管理平台。JRafT 是 SOFAStack 微服务平台中的一个分布式一致性组件...
hessian学习基础篇——序列化和反序列化
05-26
通过阅读和分析Hessian的源,我们可以了解其如何编和解各种数据类型,以及如何优化序列化和反序列化的过程。这对于优化自定义序列化逻辑或者解决Hessian使用中遇到的问题非常有帮助。 总结起来,Hessian是一...
浅谈Java序列化和hessian序列化的差异
08-29
Java序列化和Hessian序列化的差异 Java序列化和Hessian序列化是两种常用的序列化机制,它们都可以将对象转换为字节流,以便在网络上传输。但是,两者之间有着很大的差异,今天我们就来比较一下它们的实现机制和特点...
Hessian 2.0序列化协议规范.docx
09-14
Hessian 2.0序列化协议规范》 在分布式计算和网络通信中,数据的序列化和反序列化是至关重要的环节。Hessian 2.0是一种高效的二进制序列化协议,它旨在减少网络传输的数据量,提高数据交换的效率。本文将详细介绍...
【严重】Nacos 集群Raft反序列化漏洞
murphysec的博客
06-07 3797
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。Nacos是一个用于动态服务发现和配置以及服务管理的平台。
Nacos 反序列化漏洞初步探针
kkdgyb6的博客
06-12 3241
方法首先创建一个ByteArrayOutputStream对象和一个Hessian2Output对象,将ByteArrayOutputStream对象传递给Hessian2Output的构造函数进行初始化,然后通过调用setSerializerFactory方法设置序列化工厂,之后调用writeObject方法将对象写入输出流中,并通过close方法关闭Hessian2Output对象,最后返回ByteArrayOutputStream对象中的字节数组。例如,攻击者可以将类路径或类名随意修改,借此利用。
weblogic漏洞工具检测上传webshell
m0_53073183的博客
02-02 1614
weblogic 漏洞工具检测上传webshell
6!Nacos反序列化漏洞利用工具v0.5
潇湘信安的博客
07-18 1939
刨洞安全@凉风师傅写的一个 Nacos Hessian 反序列化漏洞利用工具,目前已更新到v0.5,欢迎Star!
rmi反序列化导致rce漏洞修复_记一次Java反序列化漏洞的发现和修复
weixin_39604516的博客
12-23 663
作者:bit4@勾陈安全0x00 背景简介本文是自己对一次反序列化漏洞的发现和修复过程,如有错误请斧正,大神请轻喷。目标应用系统是典型的CS模式。客户端是需要安装的windows桌面程序,但是它是大部分内容都是基于Java开发(安装目录有很多Jar包)。服务端是基于Jboss开发。客户端和服务端之间的通信流量是序列化了的数据流量。客户端接收和解析数据流量的模式和服务端一样,也是通过http服务,它...
Spring-Core RCE反序列化漏洞原理复现
FisrtBqy的博客
05-15 2137
Spring-Beans RCE反序列化漏洞原理复现
RMI反序列漏洞复现-——手把手光速复现工具超全
weixin_37771454的博客
03-24 3198
RMI反序列漏洞复现-手把手光速复现工具超全一、靶机部署:二、本机怎样查看是不是可以回显?三、attackRMI利用 RMI是REMOTE METHOD INVOCATION的简称,是J2SE的一部分,能够让程序员开发出基于JAVA的分布式应用。一个RMI对象是一个远程JAVA对象,可以从另一个JAVA虚拟机上(甚至跨过网络)调用它的方法,可以像调用本地JAVA对象的方法一样调用远程对象的方法,...
fastjson jar包_Fastjson<=1.2.47反序列化RCE漏洞(CNVD201922238)
weixin_39677104的博客
11-28 176
Fastjson <=1.2.47反序列化RCE漏洞(CNVD‐2019‐22238)一、漏洞描述Fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列 化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。Fastjson提供了autotype功能,允许用户在反序列化数据中通过“@typ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值